NUEVA VARIANTE DE RANSOMWARE CRYPT INSTALADO POR UN NEMUCOD RECIBIDO ANEXADO A UN MAIL INDICADO ESTA MAÑANA
Al monitorizar el downloader NEMUCOD descargado al ejecutar el .js recibido en un ZIP anexado al mail indicado esta mañana, se ha instalado un nuevo ransomware que añade .CRYPT a las extensiones de los ficheros que codifica, por lo que pasamos a llemare RANSOMWARE CRYPT, que al igual que el NEMUCOD que lo instala, tambien pasamos a controlarlo a partir del ELISTARA 36.78 de hoy
El preanalisis de dicha nueva variante, ofrece le siguiente informe:
MD5 77ff4120d8aae6506687fb4198c33bc3
SHA1 0be1f1ee583c5ebe7342af03b661d156a2862349
Tamaño del fichero 195.0 KB ( 199680 bytes )
SHA256:
eef3a2113fd4040756158746087bbed7a73d606fe37096804bd5a77e139c7a35
Nombre:
77ff4120.exe
Detecciones:
11 / 58
Fecha de análisis:
2017-05-08 09:28:45 UTC ( hace 8 minutos )
Genera en todas las Carpetas a las que acceda el siguiente fichero de “ayuda”:
how_to_back_files.html
que contiene el siguiente texto:
________________________
Your files are encrypted!
Your personal ID
5B F0 FF 83 DE 2B 0B 2D 26 33 10 C1 08 23 6F 2E
F0 6F D5 8A 92 17 88 0F B5 BD 13 3E 60 92 6E FD
CA 99 21 32 47 21 12 DB AC 86 64 1B 49 CE 95 AF
C4 9D 07 4A 10 05 A6 BB 36 77 15 D7 6B EC AC CA
E2 EA BE EA 80 51 A8 6F D2 4B 49 67 7B 56 C6 31
91 0D 73 18 3C 5E 6D D9 BA 56 AE 2E 4C 45 A4 81
F8 B1 F4 58 4E 77 05 D8 12 20 79 17 F4 AD A8 6A
00 C1 9B BD B6 6E D3 4A A4 92 51 E9 DE 79 BA 1B
All your important data has been encrypted.
To recover data you need decryptor.
To get the decryptor you should:
pay for decrypt:
site for buy bitcoin:
Buy 0.5 BTC on one of these sites
https://localbitcoins.com
https://www.coinbase.com
https://xchange.cc
bitcoin adress for pay:
1AMBqAqiNcJXPojKcgQQLREncgunopyt5G
Send 0.5 BTC for decrypt
After the payment:
Send screenshot of payment to chines34@protonmail.ch. In the letter include your personal ID (look at the beginning of this document).
After you will receive a decryptor and instructions
Attention!
No Payment = No decryption
You really get the decryptor after payment
We give you the opportunity to decipher 1 file free of charge!
You can make sure that the service really works and after payment for the «Decryptor» program you can actually decrypt the files!
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user’s unique encryption key
__________
Dicha versión del ELISTARA 36.78 que lo detecta y elimina, estará disponible en nuestra web a partir del 9-5 prox.
saludos
ms, 8-5-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.