NUEVA VARIANTE DE RANSOMWARE SPORA, QUE TAMBIEN PRETENDE INFILTRARSE COMO MAILS DE FACTURAS

Ya conocimos hace cosa de 1 mes, y ensayamos,  otra variante de este ransomware SPORA, del que repetimos lo principal, para evitar que se tenga que recurrir al indicado informe:

Esconde las Carpetas de la raiz del disco duro y crea links con su nombre lanzando el malware
Presenta un HTML en ruso, que traduce al ingles automaticamente indicando:

…….

1. Only we can restore your files.
Your files have benn modified using RSA-1024 algorithm. Reverse recovery process is called decryption. This requires your unique key. It is impossible to find it somewhere or “hack”.
2. Do not turn to intermediaries!
All recovery keys are securely stored on our servers, therefore, if somebody will say you, that he could “restore” your data without the key, in the best case, he firstly buys the key at us, and then he resell it to you at a premium.

……..

Mas info:

En la actualidad, el ransomware Spora se distribuye a través de correos electrónicos no deseados que pretenden ser facturas. Estos mensajes de correo electrónico con archivos adjuntos vienen en forma de archivos ZIP que contienen archivos HTA.
Estos archivos HTA (aplicación HTML) utilizan un doble extensión, como PDF.HTA o DOC.HTA. En los equipos de Windows donde se oculta la extensión de archivo, los usuarios verán sólo la primera extensión y puede ser infectado por abrir el archivo. El lanzamiento de cualquiera de estos archivos, inicia el proceso de cifrado del ransomware Spora.

Cuando un usuario ejecuta el archivo de HTA, se va a extraer un archivo Javascript close.js nombre a la carpeta %temp%, que extrae más de un ejecutable en la misma carpeta y lo ejecuta. Este ejecutable utiliza un nombre generado aleatoriamente. Este ejecutable es el dispositivo de cifrado principal y comenzará a cifrar los archivos en el ordenador.
Además, el archivo HTA también va a extraer y ejecutar un archivo DOCX. Este archivo está dañado y mostrará un error. Otras familias de malwares usan este mismo mismo truco, la apertura de los archivos dañados con el fin de engañar a los usuarios haciéndoles creer el archivo había sido dañado durante la transferencia de correo electrónico o la operación de descarga, con el fin de no alertar de juego sucio.

También cabe indicar que infecta pendrives, aparte del cifrado de sus datos, como los de las demás unidades compartidas, por lo que dichos pendrives infectados pueden tambien ser fuente de infección de otros ordenadores.

El cifrado de ficheros lo hace en los que tienen estas extensiones:
xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

De lo que se puede ver mas información en la Fuente del texto indicado :

https://www.clasesordenador.com/spora-ransomware/index.html

y en la nueva muestra que nos ha llegado, y que pasamos a controlar a partir del ELISTARA 36.35, el preanalisis de virustotal ofrece el siguiente informe:

MD5 559e8b46d88188a561e36fd83b5bd9e8
SHA1 d0416b82d035dfa8bc0b99a89d822400576d1baf
Tamaño del fichero 68.0 KB ( 69632 bytes )
SHA256: 27958e55f7d5b9aad874ac61ff1df7cb78083eb4eca2201fcb3b343a628e8536
Nombre: 02729d4ee3bb7f75(03).exe
Detecciones: 42 / 59
Fecha de análisis: 2017-03-03 10:41:16 UTC ( hace 6 minutos )

total

Dicha versión del ELISTARA 36.36 que lo detecta y elimina, estará disponible en nuestra web a partir del 4-3 prox.

saludos

ms, 3-3-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies