TESLACRYPT Y LOCKY, LOS RANSOMWARES QUE ESTAN PROLIFERANDO ANEXADOS A MAILS MASIVOS, ENTRE OTROS METODOS, UNOS ANEXANDO FICHERO EXE Y EL OTRO GENERALMENTE A TRAVES DE UN DOC CON MACROS QUE DESCARGA UN EXE MALWARE

Publicado el 23 febrero 2016 ¬ 17:08 pmh.mscComentarios desactivados en TESLACRYPT Y LOCKY, LOS RANSOMWARES QUE ESTAN PROLIFERANDO ANEXADOS A MAILS MASIVOS, ENTRE OTROS METODOS, UNOS ANEXANDO FICHERO EXE Y EL OTRO GENERALMENTE A TRAVES DE UN DOC CON MACROS QUE DESCARGA UN EXE MALWARE

Estamos en la epoca de los ransomwares, malwares que una vez ejecutados en un
ordenador, codifican la informacion de los ficheros de datos de unidades compartidas, incluido el servidor.

Es dificil que quien lea estas lineas no haya sufrido ya algun ataque de un
ransomware y sepa lo costoso que resulta recuperar la informacion, bien desde la
copia de seguridad, si se tiene, o bien pagando el rescate al hacker, nunca
aconsejable salvo contadas excepciones de “vida o muerte” …

Entendiendo que no hace falta explicar el detalle de los ransomwares en general, las
dos familias que destacan actualmente, son la del TESLACRYPT y la del LOCKY

Del primero, del que ya conocemos variantes iniciales desde hace algunos meses, que
añadian a los ficheros cifrados las extensiones .CCC, .EZZ, .VVV. … y ahora
recientemente .MICRO y .MP3, ha ido evolucionando hasta llegar a cifrar con un
algoritmo RSA4096 que es practicamente imposible de decodificar, si no se cuenta con
el hacker, pero ademas, este ha ido tambien cambiando el método, hasta llegar
ultimamente a borrar el fichero malware una vez terminada la “faena”, con lo cual
encontrar el culpable y analizarlo para poder controlarlo, se hacia mas dificil, si
no se cazaba en su fase de cifrado inicial, antes de que se borrara el fichero
malware.

Pero desde hace tres o cuatro días, la variante del TESLACRYPT que identificamos como”R”, siguiendo las letras del abecedario para diferenciar las diferentes variantes,
que, al igual que el “Q”, anterior a este último, añade .MP3, mientras que los que
añadian .MICRO eran los M, N, O, P, con diferentes caracteristicas en los ficheros de
mensajes para el pago del rescate y de las claves de lanzamiento, pues los de la
serie “Q” eran de los que borraban el fichero malware al terminar el cifrado,
mientras que los actuales, de la serie R, el fichero persiste y, si bien deja de
estar activo cuando acaba el cifrado, instala otra clave diferente de lanzamiento del
mismo fichero, para que se ponga en marcha en el siguiente reinicio, y si el usuario
se piensa que el virus ya ha terminado la faena y restaura la copia de seguridad, se
encuentra de nuevo con que vuelven a cifrarse los ficheros al siguiente reinicio.

Hemos visto en algun informe del SPROCES, hasta 9 claves diferentes lanzando el mismo fichero, señal de que el usuario habia reiniciado 9 veces desde la entrada de dicho malware…

Afortunadamente con el actual ELISTARA, ademas de controlar especificamente los que hemos ido recibiendo, pedidos por la heuristica de dicha utilidad, ya detecta, sea
cual fuere el nombre y contenido de dicho ransomware TESLACRYPT-R, mediante sistema heuristico, y lo aparca en C:\muestras, avisando al usuario de la detección y pidiendo que nos envie muestra para analizar y controlar.

Y esta es la historia que hemos ido contando en las noticias diarias de nuestro blog,
respecto a las ultima variantes del dichoso TESLACRYPT, pero hay otro que está
haciendo de las suyas añadiendo .LOCKY al final de los ficheros cifrados, ademas de
cambiar el nombre del fichero, si bien este no se recibe en un EXE directamente, sino
que es mas elaborado y salvo raras excepciones que hemos visto que llega en un JS, se
recibe en ficheros DOC y DOCM, con macros maliciosas que descargan el ransomware en cuestión.

A los ficheros codificados les cambia el nombre, convirtiendolos por ejemplo en:
8BC6F38F94390507 (VARIABLE) ****************.locky

lo cual hace mas dificil saber cuales son los que ha cifrado, aunque de poco
serviría…

De este ransomware LOCKY publicamos detalle de monitorizacion en:

https://blog.satinfo.es/2016/nueva-variante-de-ransomware-que-cambia-la-extension-de-los-ficheros-a-locky/

 

y del TESLACRYPT-R, arriba indicado, se puede ver noticia al respecto en:

https://blog.satinfo.es/2016/67314/

 

Posible recuperación del cifrado de las últimas variantes de Teslacrypt:

https://blog.satinfo.es/2016/posible-recuperacion-de-ficheros-cifrados-en-las-estaciones-de-trabajo-afectadas-por-las-ultimas-variantes-del-ransomware-teslacrypt/

 

Y recordamos nuestra Biblia de proteccion contra los ransomwares en general, que está disponible en:

https://blog.satinfo.es/2015/62372/

Mucho cuidado con toda esta moda de cifrado malicioso de ficheros, que están
proliferando continuamente, y que las Normas a Seguir para evitarlos, indicadas en el
último enlace, son muy importantes, y conviene que las conozcan todos los usuarios,
para tenerlas en cuenta, ya que, en definitiva, son los que pueden evitar el desastre,
prestando atención a lo indicado.

Si desean alguna aclaración al respecto, no duden en consultarnos

saludos

SATINFO

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies