MAS VARIANTES DEL RANSOMWARE SAGE, QUE AÑADE .sage A LOS CIFRADOS, Y QUE PASAMOS A CONTROLAR CON ELISTARA

Está siendo habitual la presencia de este ransomware entre las muestras que nos llegan a diario, y que si bien se autoborra una vez cifrados los ficheros, no se conoce actualmente herramienta pública de descifrado.

A partir del ELISTARA 36.27 se controla esta nueva variante del “SAGE 2.2” (hasta ahora conocíamos la 2.0)

El preanalisis de VIRUSTOTAL ofrece este informe:

MD5 fad9bfdc425989abe3f938074f894394
SHA1 1491b3cfec359fa98dbea5d78fa1d6b1f9d0ea2c
Tamaño del fichero 210.5 KB ( 215552 bytes )
SHA256:
17ab2b19045fddfb7fa01ffb7305ad9f2c0bf419acf8c942930b3c0bf579c1ff
Nombre:
fad9bfdc.exe
Detecciones:
22 / 55
Fecha de análisis:
2017-02-21 10:35:14 UTC ( hace 6 minutos )
https://www.virustotal.com/es/file/17ab2b19045fddfb7fa01ffb7305ad9f2c0bf419acf8c942930b3c0bf579c1ff/analysis/1487673314/
– Queda residente.
– Codifica ficheros BAT, BMP, GIF, JPG, PNG, TXT, WAV, XML, etc…
de todas las unidades mapeadas (respetando %WinDir%)
A los ficheros codificados les añade la extensión “.sage”
– Asocia la extension “.sage” a un nuevo tipo de archivo “sage.notice”

y el autoborrado lo hace lanzando el fichero creado por él:

%WinTmp%\__config****.bat

cuyo contenido es el siguiente:

:abx
ping 127.0.0.1 -n 2 > nul
del /A /F /Q “%Datos de Programa%\ QUBHwnpo.exe”
if exist “%Datos de Programa%\ QUBHwnpo.exe” goto abx
del /A /F /Q “%Datos de Programa%\ QUBHwnpo.exe”

Dicha versión del ELISTARA 36.27 que lo detecta y elimina, estará disponible en nuestra web a partir del 22-2 prox.

saludos

ms, 21-2-2017