NUEVA VARIANTE DE RANSOMWARE POLSKI (alias AESXWIN)

Publicado el 5 octubre 2017 ¬ 10:31 amh.mscComentarios desactivados en NUEVA VARIANTE DE RANSOMWARE POLSKI (alias AESXWIN)

Nueva variante de esta familia de ransowmares  AESXWIN , que en otra versión anterior se identificaba como Enigma, aunque igualmente añadía .aes a los ficheros cifrados

– Queda residente.- Codifica ficheros bin, bmp, dat, doc, txt, xml, etc.Añade a los ficheros cifrados la extensión .aes

El preanalisis de virustotal sobre el fichero muestra recibido
398fcb54.gxe
to que presenta en fichero  ###0DZYSKAJ-SWOJE-PLIKI.TXT   es el siguiente:

$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-                                P_o_l_s_k_i – – r_a_n_s_o_m_w_a_r_e                                $$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-
$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-                                Masz problem ze znalezieniem potrzebnych danych ?                             Nie możesz otworzyć swoich dokumentów?                              Po otworzeniu ważnych plików widzisz tylko nic nie mówiący, dziwny ciąg znaków?
Twoje istotne pliki zostały zaszyfrowane !                                Twoje zdjęcia, dokumenty, bazy danych, zostały zaszyfrowane nie mozliwym do zlamania algorytmem aes-256                Metody tej do szyfrowania zawartosci dokumentów uzywaja sluzby wywiadowcze I wojsko.                                $$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-                                Gdy to czytasz proces jest zakończony, wytypowane pliki zostały zaszyfrowane a sam program usunięty z twojego komputera.                Odzyskac twoje dane mozna tylko przy pomocy dedykowanego programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla ciebie!                 Dwa pliki odszyfrujemy bez opłaty aby nie być gołosłownymi, za pozostałe będziecie państwo musieli zapłacić 100$                                Aby odzyskać pliki skontaktuj się z nami pod adresem: Hc9@2.pl lub Hc9@goat.si                                 Radzimy decydować się szybko, 4 dni od zaszyfrowania opłata zostanie podniesiona do 200$.                                $$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-                                Kontaktujac sie z nami pamietaj aby podac id-komputera I date                                DANE IDENTYFIKACYJNE: IP=84.77.141.155 ID=b0ec6dd3-9ffa-477a-aeda-c4899cfb16f7 Data=04-10-2017 17:10:18
398fcb54.gxe
https://www.virustotal.com/es/file/666fccec3e23dac827bab687830e168b0ace81385d82c54dbe0113ff71a0a3b8/analysis/1507189887/

TRADUCCION:

P_o_l_s_k_i – – r_a_n_s_o_m_w_a_r_e                                                             ¿Tiene problemas para encontrar los datos que necesita?                            ¿No puede abrir sus documentos?                             Cuando abre archivos importantes, sólo ve una cadena extraña que no habla.
                 ¡Sus archivos importantes han sido cifrados!                                Sus fotos, documentos, bases de datos, fueron encriptados con un algoritmo no-breaking llamado aes-256.                Este método se utiliza para cifrar el contenido de los documentos utilizados por los servicios de inteligencia y los militares.                               Cuando finaliza este proceso, los archivos seleccionados se cifran y el programa se quita del equipo.                Sólo puede recuperar sus datos utilizando un programa de descifrado dedicado, con una clave de una sola vez generada exclusivamente para usted!                Dos archivos se descifran de forma gratuita, por lo que no tendrá que pagar los restantes $ 100.                                Para recuperar archivos, póngase en contacto con nosotros en: Hc9@2.pl o Hc9@goat.si                                 Le recomendamos que decida rápidamente, 4 días después de que el pago encriptado se elevará a $ 200.                                                                Póngase en contacto con nosotros para recordar la fecha id-computer                                DATOS DE IDENTIFICACIÓN: IP = xxxxxxxxxxx ID = b0ec6dd3-9ffa-477a-aeda-c4899cfb16f7 Date = 04-10-2017 17:10:18
__________

Vistos los contactos ofrecidos, se ve que corresponden a Polonia y Bucarest (Rumania)

Hc9@2.pl
Nombre del Host: 2.plDirección de IP: 185.84.137.70   [whois]Código de País: POL / PL   PolandPaís: Poland
……
Hc9@goat.si Nombre del Host: goat.siDirección de IP: 185.100.85.212   [whois]Código de País: ROU / RO   RomaniaPaís: RomaniaRegión: 10Ciudad: Bucharest
_________

Dicha versión del ELISTARA 37.63 que lo detecta y elimina, estará disponible en nuestra web a partir del 6/10 prox

saludos
ms, 5/10/2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies