COMO ESTOS ULTIMOS DIAS, NUEVA TANDA DEL RANSOMWARE DE MODA, EL CERBER 4 y COMENTARIOS DE INTERES AL RESPECTO

Publicado el 10 febrero 2017 ¬ 11:38 amh.mscComentarios desactivados en COMO ESTOS ULTIMOS DIAS, NUEVA TANDA DEL RANSOMWARE DE MODA, EL CERBER 4 y COMENTARIOS DE INTERES AL RESPECTO

Otras 6 variantes del dichoso ransomware CERBER 4 pasan a ser controladas a partir del ELISTARA 36.20 de hoy

Los MD5 de los últimas seis muestras recibidas tienen estos datos:

“14D911287D22ADAEB325D9C44127FB91” -> 14d91128.exe 336256
“3EADCF60A5F5426F8920C31607B6C0A6” -> 3eadcf60.exe 246528
“7BAAEC8F6E02AFB9A401F2ED4F714A22” -> 7baaec8f.exe 267354
“90CFDB3CDDFE95B0A3320F2AFDB90C65” -> 90cfdb3c.exe 323840
“B90428ACC9FDA8AE40DF3F3BC9C32281” -> b9042bac.exe 483712
“CF8B02FE846E303604B4E519FDAFB806” -> cf8b02fe.exe 230656

Y el preanalisis de virustotal del último recibido, ofrece este informe:
MD5 14d911287d22adaeb325d9c44127fb91
SHA1 0df78dde27085a203fc23f4bb5e6469084cd8754
Tamaño del fichero 328.4 KB ( 336256 bytes )
SHA256:
24ae0709c7d18d764b957dff871674eda47d1a82fbcfb84a0b57a156cfbacd40
Nombre:
14d91128.exe
Detecciones:
11 / 58
Fecha de análisis:
2017-02-10 10:14:47 UTC ( hace 5 minutos )

total.com/es/file/24ae0709c7d18d764b957dff871674eda47d1a82fbcfb84a0b57a156cfbacd40/analysis/1486721687/

Dicha versión del ELISTARA 36.20 que los detecta y elimina,e stará disponible en nuestra web a partir del 13-2-2017
y aprovechamos para comentar que conviene tener en cuenta al respecto lo siguiente:

ALGUNOS COMENTARIOS GENERALES SOBRE LOS CERBER 4 Y AHORA CON EL WINDOWS 10 ACTUAL

Al respecto vemos que el CERBER 4 tambien cifra los ficheros ZIP, renombrandolos a NOMBRECIFRADO.XXXX . siendo XXXX cuatro digitos funcion del sistema y de la maquina, igual que con los ficheros de datos, salvándose solo, (DE MOMENTO), los que estén en una carpeta que cuelgue de la de C:\windows, por ejemplo en una llamada ANTICIFRADO creada al efecto: C:\windows\ANTICIFRADO\

Y por cierto que al monitorizarlos en Windows 10 vemos que dicho sistema tiene el SHADOW COPY desactivado por defecto, no solo en servidores como en los anteriores sistemas, sino tambien en las estaciones de trabajo, asi que aunque el virus no tuviera la instrucción de borrado de los ficheros “shadow”, tampoco dispondríamos de las versiones anteriores de los ficheros cifrados, ni aunque hubieramos renombrado el fichero VSSADMIN.EXE para evitar dicho borrado.

Para que se realizaran los ficheros “shadows” con WINDOWS 10, se debería configurar dicha aplicación del SHADOWCOPY indicandole unidad externa a donde dirigir dichas copias y activarla, incluso en estaciones de trabajo.

Tengase ello en cuenta y en consecuencia recomendamos mas que nunca, TENER COPIA DE SEGURIDAD ACTUALIZADA y desconectada para evitar que sea cifrada.

Además, recordar que para el CERBER 4 no hay descifrador disponible, de momento.

 

saludos

ms, 10-2-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies