MAS INFORMACION SOBRE EL NUEVO RANSOMWARE CESAR, QUE DIFICULTA LA ELIMINACION AL ESCONDER ALGUNAS CLAVES DE LANZAMIENTO Y OTRAS HISTORIAS…

Ayer informábamos de un nuevo ransomware, variante del Crysis,  que añadía “cesar” al final de los ficheros cifrados, y hoy lo estamos monitorizando para rematarlo, aun cuando no se conozca la variante en cuestión.

Como decíamos ayer, este ransomware oculta las claves de lanzamiento de manera que aunque ya lo eliminemos de la clave CURRENT USER, evitando que sea lanzado el de la carpeta del usuario, no es asi con otras claves que tambien lo ejecutan desde la carpeta de Inicio, lo cual volvería a causar la puesta en marcha del virus.

Por ello hemos creado una doble detección del mismo en el ELISTARA, la primera para eliminar el que ya veamos en la clave visible, y la segunda para eliminar de otras carpetas el fichero que hubiera con dichas caracteristicas.

Así las cosas, ya solo queda informar de lo que hemos visto que hace el malware en cuestión:

Codifica ficheros BAT, BMP, DLL, EXE, GIF, INI, JPG, LNK, MID, PNG, SYS, TXT,
WAV, XML, ZIP, etc… de todas las unidades mapeadas (respetando %WinDir%)

Las Carpetas “Archivos de Programa” y “Usuarios” las muestra con su nombre
original “Program Files” y “Users”, perotodas las Carpetas Especiales
perderán sus propiedades, al haber codificado el fichero “Desktop.ini”.

 

El texto que aparece cuando entra en funcionamiento es el siguiente:

 

“all your data has been locked us
You want to return?
write email spiderlock@cock.li or spiderlock@zoho.com”

IMAGEN QUE PRESENTA EN PANTALLA DICHO RANSOMWARE:

total ofrece el siguiente informe

Lo malo del caso es que todos los enlaces, accesos directos y fichero INI habrán sido codificados, por lo que sin que se disponga del descifrador de los ficheros cifrados, poco se podrá hacer con los ordenadores afectados, aunque se elimine el fichero ejecutable causante.

Como siempre decimos, debe evitarse ejecutar ficheros anexados a mails no solicitados, ni pulsar en imagenes o enlaces que allí se ofrecieran

MUCHO CUIDADO CON ELLO !

saludos

ms, 13-9-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies