MAS VARIANTES DEL NUEVO RANSOMWARE CRYPT E INFORMACION DEL MISMO ENCONTRADA EN INTERNET
Como ya hemos indicado en anterior noticia, al monitorizar un .js recibido hoy anexado a un mail, ha resultado ser un downloader NEMUCOD que instala un nuevo ransomware que llamamos CRYPT, por ser este el nombre añadido que pone en los ficheros coidificados
Al volver a recibir otro similar, que igualmente pasamos a controlar con el ELISTARA 36.78, vemos que está proliferando, y buscando sus caracteristicas en internet, hemos encontrado información que coincide con lo ya indicado, que se puede ver en:
http://www.malware-traffic-analysis.net/2017/05/03/index2.html
La nueva variante descargada ofrece este informe en el preanalisis de virustotal:
MD5 0cf75ac2842b0b2620d35d4f01ebe2ce
SHA1 8a9b7f95b39256ab90a3cc4c01e8197a4cd88aa1
Tamaño del fichero 195.5 KB ( 200192 bytes )
SHA256:
77fcd6301f6dbad0f145914759ba14683971981abfa16d40e3f3627dd8e4cfc6
Nombre:
0cf75ac2.exe
Detecciones:
13 / 61
Fecha de análisis:
2017-05-08 10:06:44 UTC ( hace 2 minutos )
Podemos añadir que codifica ficheros BAT, BMP, DLL, EXE, GIF, INI, JPG, MID, PNG, SYS, TXT, WAV, XML, ZIP, etc… de todas las unidades mapeadas (respetando %WinDir%)
Y que, al igual que los Locky y que los CERBER, una vez codificados los ficheros indicados, se autoelimina, para evitar ser analizar y controlado como corresponde.
Ello lo diferencia del CRYPTOLOCKER, que, tras codificar, persiste en el registro y se vuelve a ejecutar al reiniciar.
Dicha versión del ELISTARA 36.78 que los detecta y elimina, estará disponible en nuestra web a partir del 9-5 prox
saludos
ms, 8-5-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.