INFORMACION SOBRE RANSOMWARE SAMAS FACILITADA POR McAfee

Una familia de ransomwares que desde hace un año era conocida y se caracterizaba por ofrecer el pago del rescate en un blog de Word Press, ahora vuelve pero ya con información en la red ONION dentro de TOR

TOR based Ransom website for Ransomware-SAMAS

Rescate SAMAS/ONION.jpg

Dicho ransomware utiliza un script que lanza el ejecutable sqlsrvtmg1.exe que se cuida de borrar los backups que encuentra en los sistemas locales, con dichas extensiones:

.abk, .ac, .back, .backup, .backupdb, .bak, .bb, .bk, .bkc, .bke, .bkf, .bkn, .bkp,
.bpp, .bup, .cvt, .dbk, .dtb, .fb, .fbw, .fkc, .jou, .mbk, .old, .rpb, .sav, .sbk,
.sik, .spf, .spi, .swp, .tbk, .tib, .tjl, .umb, .vbk, .vib, .vmdk, .vrb, .wbk
Por otra parte, cifra los ficheros compartidos con las siguientes extensiones:

.jin, .xls, .xlsx, .pdf, .doc, .docx, .ppt, .pptx, .txt, .dwg, .bak, .bkf, .pst,
.dbx, .zip, .rar, .mdb, .asp, .aspx, .html, .htm, .dbf, .3dm, .3ds, .3fr, .jar,
.3g2, .xml, .png, .tif, .3gp, .java, .jpe, .jpeg, .jpg, .jsp, .php, .3pr, .7z, .ab4,
.accdb, .a, ccde, .accdr, .accdt, .ach, .kbx, .acr, .act, .adb, .ads, .agdl, .ai,
.ait, .al, .apj, .arw, .asf, .asm, .asx, .avi, .awg, .back, .backup, .backupdb,
.pbl, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3,
.cdr4, .cdr5, .cdr6, .cdrw, , .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls,
.cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .phtml, .php5, .cs, .csh, .csl, .tib,
.csv, .dac, .db, .db3, .dbjournal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der,
.des, .design, .dgc, .djvu, .dng, , .dot, .docm, .dotm, .dotx, .drf, .drw, .dtd, .dxb,
.dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fmb, .fhd,
.fla, .flac, .flv, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp,ibank, .ibd, .ibz,
.idx, .iif, .iiq, .incpas, .indd, .kc2, , .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v,
.max, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw,
.msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg,
.nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .od, b, .odc, .odf, .odg, .odm, .odp, .ods,
.odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab,
.pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pef, .pem, .pfx, .pl, .plc, .pot,
.potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st, 4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .vob, .war, .wallet, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .vb,.asmx,.config

evitando efectuar dicho cifrado en las carpetas de

– Windows
– Recycle.bin
El preanalisis de virustotal ofreció a primeros de año este informe:
MD5 14721036e16587594ad950d4f2db5f27
SHA1 ed1797c282f0817d2ad8f878f8dd50ab062501ac
Mida del fitxer 213.0 KB ( 218112 bytes )
SHA256: 7aa585e6fd0a895c295c4bea2ddb071eed1e5775f437602b577a54eef7f61044
Nom del fitxer: VID282117005.exe
Relació de detecció: 44 / 56
Data de l’anàlisi: 2017-01-01 09:51:23 UTC ( fa 4 setmanes, 1 dia )
0
5

Antivirus Resultat Actualitzat el
ALYac Gen:Variant.Ransom.Samas.2 20170101
AVG Ransom.Samas 20170101
AVware Trojan.Win32.Generic!BT 20170101
Ad-Aware Gen:Variant.Ransom.Samas.2 20170101
AegisLab Gen.Variant.Kazy!c 20161231
AhnLab-V3 Trojan/Win32.Samas.C1342294 20161231
Antiy-AVL Trojan/Win32.TGeneric 20170101
Arcabit Trojan.Ransom.Samas.2 20170101
Avast Win32:Ransom-AYG [Trj] 20170101
Avira (no cloud) TR/Samas.218112 20161231
BitDefender Gen:Variant.Ransom.Samas.2 20170101
Bkav W32.Clodf84.Trojan.65a9 20161229
CAT-QuickHeal Trojan.Inject.TL3 20161231
Comodo UnclassifiedMalware 20170101
CrowdStrike Falcon (ML) malicious_confidence_98% (W) 20161024
DrWeb Trojan.Encoder.4320 20170101
ESET-NOD32 a variant of MSIL/Filecoder.AR 20170101
Emsisoft Gen:Variant.Ransom.Samas.2 (B) 20170101
F-Secure Trojan:W32/NomadSnore.D 20170101
Fortinet MSIL/Filecoder.AR!tr 20170101
GData Gen:Variant.Ransom.Samas.2 20170101
Ikarus Trojan-Ransom.SamSam 20161231
Invincea virus.win32.chir.b@mm 20161216
K7AntiVirus Trojan ( 004de2661 ) 20170101
K7GW Trojan ( 004de2661 ) 20170101
Kaspersky Trojan-Ransom.MSIL.Samas.j 20170101
Malwarebytes Ransom.FileCryptor 20170101
McAfee Ransomware-SAMAS!14721036E165 20170101
McAfee-GW-Edition Ransomware-SAMAS!14721036E165 20170101
eScan Gen:Variant.Ransom.Samas.2 20170101
Microsoft Ransom:MSIL/Samas.A 20170101
NANO-Antivirus Trojan.Win32.Samas.eajeha 20170101
Panda Trj/GdSda.A 20161231
Qihoo-360 Win32/Trojan.ac2 20170101
Rising Trojan.Generic-PXpgQlRl7pU (cloud) 20170101
Sophos Troj/RansmSam-A 20170101
Symantec Ransom.SamSam!gen1 20170101
Tencent Msil.Trojan.Samas.Dxda 20170101
TrendMicro Ransom_CRYPSAM.SM 20170101
TrendMicro-HouseCall Ransom_CRYPSAM.SM 20170101
VIPRE Trojan.Win32.Generic!BT 20170101
ViRobot Trojan.Win32.S.Samsam.218112[h] 20170101
Yandex Trojan.Filecoder!6hxIE543ViY 20161230
Zillya Trojan.Filecoder.Win32.2108 20161231

Mas información en inglés original en PDF de McAfee:
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26873/en_US/McAfee_Labs_Threat_Advisory_Ransomware_SAMAS.pdf

saludos

ms, 30-1-2017