NUEVA VARIANTE DE RANSOMWARE SATAN, CON PARTICULARIDADES SOBRE LOS FICHEROS CIFRADOS CON EXTENSION .stn
Una nueva variante de este ransomware nos ha sorprendido al comprobar que han asociado la extensión .stn de los ficheros cifrados, de forma que al ejecutarlos visualice un html que ofrece información de lo que les ha pasado a dichos ficheros y lo que se puede hacer con ellos:
TEXTO del html de información contenido en cada fichero cifrado por dicho ransomware SATAN:
_______________
English | Português | ภาษาไทย | Deutsch | Italiano | Español | Русский | Latviski | Français | 中文 | Dutch | Romanian | Lithuanian | Eesti | Serbian | Hungarian | Turkish | Norwegian | Czech | Polski | Slovenian | Indonesia | 한국어
¿Qué le pasó a mis archivos?
Todos tus archivos personales fueron encriptados usando AES-256 y RSA-2048
¿Qué significa esto?
Esto significa que el contenido de tus archivos ha cambiado, no serás capaz de usarlos, es básicamente lo mismo que perderlos para siempre. Sin embargo, aún puedes recuperarlos con nuestra ayuda.
¿Cómo puedo recuperar mis archivos?
Como ya se dijo, tus archivos han sido encriptados, para desencriptarlos necesitarás la llave privada que corresponde al par de llaves que se generaron cuando tus archivos fueron encriptados. Desencriptar tus archivos sólo es posible con la llave privada y el desencriptador.
Si realmente aprecias tu información, entonces no deberías perder tiempo y seguir las instrucciones en el siguiente link.
https://satan6dll23napb5.onion.to/BSmADsD7?lang=es
http://satan6dll23napb5.onion.link/BSmADsD7?lang=es
http://satan6dll23napb5.onion.pw/BSmADsD7?lang=es
Si los anteriores links no funcionan, entonces debes seguir los siguientes pasos:
1. Descargar e instalar el Tor Browser.
2. Después de instalado, ejecuta el browser y espera a que se inicialice.
3. Escribe en la barra de dirección: http://satan6dll23napb5.onion/BSmADsD7?lang=es
4. Sigue las instrucciones en la página
_____________
Dicha información la ofrece en 23 idiomas que pueden seleccionarse de una lista inicial ofrecida al ejecutar dichos ficheros
A partir del ELISTARA 37.04 de hoy pasamos a controlar esta nueva variante, si bien no conocemos que haya descifrador para la recuperación de dichos ficheros cifrados.
Otra caracteristica singular es que el fichero que se recibe genera otro y desaparece, pasando el ELISTARA 37.04 a controlar ambos, por si estuviera a medio proceso, aun sin ejecucón del dropper.
El informe global actual del virustotal del fichero que se recibe es el siguiente:
Y el preanalisis de virustotal del fichero dropado, que es el que realmente codifica los ficheros, ofrece el siguiente informe:
MD5 72ee1405a4b9f712d11d3adf7ebaeaf9
SHA1 ab3f409c7e7655da08bd188bf8edae8d45e54168
Tamaño del fichero 134.9 KB ( 138140 bytes )
SHA256:
decebac786807fdf6519bb6b9fe99ff554b1ce6ca8eec29b0e9e0a36cee1685b
Nombre:
ikaks.exe
Detecciones:
48 / 61
Fecha de análisis:
2017-06-13 13:54:34 UTC
total ofrece el siguiente informe
Dicho ELISTARA 37.04 que los detecta y elimina, estará disponible en nuestra web a partir del 15-6-2017
saludos
ms, 15-6-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.