NUEVO MALWARE QUE PASAMOS A DETECTAR COMO RANSOM SPORA
Un nuevo especimen esconde las Carpetas de la raiz del disco duro y crea links con su nombre lanzando el malware
Presenta un HTML en ruso, que traduce al ingles automaticamente indicando:
…….
1. Only we can restore your files.
Your files have benn modified using RSA-1024 algorithm. Reverse recovery process is called decryption. This requires your unique key. It is impossible to find it somewhere or “hack”.
2. Do not turn to intermediaries!
All recovery keys are securely stored on our servers, therefore, if somebody will say you, that he could “restore” your data without the key, in the best case, he firstly buys the key at us, and then he resell it to you at a premium.
……..
Mas info:
En la actualidad, el ransomware Spora se distribuye a través de correos electrónicos no deseados que pretenden ser facturas. Estos mensajes de correo electrónico con archivos adjuntos vienen en forma de archivos ZIP que contienen archivos HTA.
Estos archivos HTA (aplicación HTML) utilizan un doble extensión, como PDF.HTA o DOC.HTA. En los equipos de Windows donde se oculta la extensión de archivo, los usuarios verán sólo la primera extensión y puede ser infectado por abrir el archivo. El lanzamiento de cualquiera de estos archivos, inicia el proceso de ransomware Spora.
Cuando un usuario ejecuta el archivo de HTA, se va a extraer un archivo Javascript close.js nombre a la carpeta %temp%, que extrae más de un ejecutable en la misma carpeta y lo ejecuta. Este ejecutable utiliza un nombre generado aleatoriamente. Este ejecutable es el dispositivo de cifrado principal y comenzará a cifrar los archivos en el ordenador.
Además, el archivo HTA también va a extraer y ejecutar un archivo DOCX. Este archivo está dañado y mostrará un error. Otras familias de malware usan este mismo mismo truco, la apertura de los archivos dañados con el fin de engañar a los usuarios haciéndoles creer el archivo había sido dañado durante la transferencia de correo electrónico o la operación de descarga a fin de no alertar de juego sucio.
El cifrado de ficheros lo hace en los que tienen estas extensiones:
xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup
Fuente de esta informacion : https://www.clasesordenador.com/spora-ransomware/index.html
_________
Lo pasamos a controlar a partir del ELISTARA 36.20 de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 cc171a389a1bd9d1b3e023cd1d9e2889
SHA1 6e35c48a8cebd825b24f93659b79899685eb5001
Tamaño del fichero 72.0 KB ( 73728 bytes )
SHA256:
5cc94b9d1cce717fb7e960d4e187f43f657754c3786f9739f2e8517d63bc02e5
Nombre:
02729d4ee3bb7f75.exe
Detecciones:
24 / 58
Fecha de análisis:
2017-02-10 11:54:16 UTC ( hace 2 minutos )
Dicha version del ELISTARA 36.20 que lo detecta y elimina, estará disponible en nuestra web a partir del 13/2 prox
saludos
ms, 10-2-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.