NUEVA FAMILIA DE RANSOMWARES QUE AÑADEN EXTENSION .JAFF A LOS FICHEROS CODIFICADOS, MANTENIENDOLES EL NOMBRE INICIAL

Un nuevo ransomware JAFF que codifica incluso los ficheros del sistema, de la carpeta %WinDir%, si bien al menos no toca los .EXE, por lo que Windows arranca tras el cifrado, aunque cojo por la falta de drivers cifrados, ha hecho su aparición

No genera ninguna llamada en el Registro del sistema, por lo que, tras reiniciar, no prosigue su actuación.

En todas las carpetas donde ha cifrado ficheros, deja el siguiente texto:


jaff decryptor system
Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server
in the Internet

You must install Tor Browser: https://www.torproject.org/download/download-easy.html.en

After instalation,run the Tor Browser and enter address: http://rktazuzi7hbln7sy.onion/
Follow the instruction on the web-site.

Your decrypt ID: 0988395932

y en la máquina que ha infectado (la que ha ejecutado el malware), deja este fondo de escritorio:

ReadMe.bmp (Fondo de Escritorio)

Lo pasamos a controlar a partir del ELISTARA 36.81 de hoy

El preanalisis de virustotal ofrece el siguiente informe:
MD5 924c84415b775af12a10366469d3df69
SHA1 8ab568db2bc914e3e6af048666eb0bc4ba2e414d
Tamaño del fichero 152.0 KB ( 155648 bytes )
SHA256:
0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f
Nombre:
0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f.bin
Detecciones:
10 / 60
Fecha de análisis:
2017-05-11 11:05:50 UTC ( hace 2 minutos )

Informe global actual de virustotal
Dicha versión del ELISTARA 36.82 que lo detecta y elimina, estará disponible en nuestra web a partir del 12/5 prox
saludos

ms, 11.5.2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies