MAS VARIANTES DEL NUEVO RANSOMWARE CRYPT E INFORMACION DEL MISMO ENCONTRADA EN INTERNET

Como ya hemos indicado en anterior noticia, al monitorizar un .js recibido hoy anexado a un mail, ha resultado ser un downloader NEMUCOD que instala un nuevo ransomware que llamamos CRYPT, por ser este el nombre añadido que pone en los ficheros coidificados

Al volver a recibir otro similar, que igualmente pasamos a controlar con el ELISTARA 36.78, vemos que está proliferando, y buscando sus caracteristicas en internet, hemos encontrado información que coincide con lo ya indicado, que se puede ver en:

http://www.malware-traffic-analysis.net/2017/05/03/index2.html

La nueva variante descargada ofrece este informe en el preanalisis de virustotal:

MD5 0cf75ac2842b0b2620d35d4f01ebe2ce
SHA1 8a9b7f95b39256ab90a3cc4c01e8197a4cd88aa1
Tamaño del fichero 195.5 KB ( 200192 bytes )
SHA256:
77fcd6301f6dbad0f145914759ba14683971981abfa16d40e3f3627dd8e4cfc6
Nombre:
0cf75ac2.exe
Detecciones:
13 / 61
Fecha de análisis:
2017-05-08 10:06:44 UTC ( hace 2 minutos )

total

Podemos añadir que codifica ficheros BAT, BMP, DLL, EXE, GIF, INI, JPG, MID, PNG, SYS, TXT, WAV, XML, ZIP, etc… de todas las unidades mapeadas (respetando %WinDir%)

Y que, al igual que los Locky y que los CERBER, una vez codificados los ficheros indicados, se autoelimina, para evitar ser analizar y controlado como corresponde.

Ello lo diferencia del CRYPTOLOCKER, que, tras codificar, persiste en el registro y se vuelve a ejecutar al reiniciar.

Dicha versión del ELISTARA 36.78 que los detecta y elimina, estará disponible en nuestra web a partir del 9-5 prox

saludos

ms, 8-5-2017