NUEVA VARIANTE DE RANSOMWARE SAGE (AÑADE .SAGE A LOS FICHEROS CODIFICADOS)
Siguen llegando nuevas variantes de este ransomware que se autoborra una vez terminado el cifrado, lanzando este .bat:
:abx
ping 127.0.0.1 -n 2 > nul
del /A /F /Q “%Datos de Programa%\ QUBHwnpo.exe”
if exist “%Datos de Programa%\ QUBHwnpo.exe” goto abx
del /A /F /Q “%Datos de Programa%\ QUBHwnpo.exe”
Si bien mientras realiza las siguientes acciones:
– Queda residente.
– Codifica ficheros BAT, BMP, GIF, JPG, PNG, TXT, WAV, XML, etc…
de todas las unidades mapeadas (respetando %WinDir%)
A los ficheros codificados les añade la extensión “.sage”
– Asocia la extension “.sage” a un nuevo tipo de archivo “sage.notice”
Esta nueva variante la pasamos a controlar a partir del ELISTARA 36.26 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 b8e106b35d64856340a171e21096d5d9
SHA1 6e485a83528198079873efdaa8f6ecdb98391b5b
Tamaño del fichero 231.0 KB ( 236544 bytes )
SHA256:
f736e47923077b2e6c4b64c34e26240d334db9f3a067052e880e38af9dbfd068
Nombre:
b8e106b3.exe
Detecciones:
37 / 59
Fecha de análisis:
2017-02-20 08:41:30 UTC ( hace 1 minuto )
Dicha versión del ELISTARA 36.26 que los detecta y elimina, estará disponible en nuestra web a partir del 21-2 prox.
saludos
ms, 20-2-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.