NUEVA VARIANTE DE RANSOMWARE WINLK , SECUESTRADOR DEL WINDOWS
Un nuevo malware que intercepta el normal arranque del Windows, pasa a ser controlado a partir del ELISTARA 36.51 de hoy
Básicamente se lanza desde la clave “Shell” de HKLM
– Bloquea el acceso a Windows colocando una imagen Porno en pantalla completa
con instrucciones de pago.
– Provoca un reinicio a los 4 minutos
La imagen porno que presenta es la siguiente:
(Imagen solo a efectos de ver lo que visualiza el virus en la pantalla, ofuscada parte erótica)
No se autocopia con lo que en el siguiente reinicio no se carga, ni carga el Explorer.exe, que ha eliminado del Shell inicial, con lo cual no se carga la pantalla clásica del escritorio del windows.
Lo que indica en la imagen sobre el cifrado de ficheros no nos lo ha hecho, pero en cualquier caso se entiende que si una actualización posterior lo hace, tras eliminar el virus deberán restaurarse los ficheros cifrados desde la copia de seguridad.
El preanalisis de virustotal del fichero causante, ofrece el siguiente informe:
MD5 b61d545de949ff0022d54aaa774a91d9
SHA1 9f65345a077d04030e8f6dfe4eb2f9908d8599e2
Tamaño del fichero 1.4 MB ( 1450496 bytes )
SHA256: 111660abc8ea21f7f4b7ffb6c9e1010f306720c636f059c2b1564256bf2c5028
Nombre: winlk.exe
Detecciones: 29 / 61
Fecha de análisis: 2017-03-24 08:52:18 UTC ( hace 0 minutos )
Dicha versión del ELISTARA 36.51 que lo detecta y elimina, estará disponible en nuestra web a partir del 25/3 prox
saludos
ms, 24-3-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.