NUEVO RANSOMWARE CON TEXTO EN FRANCES, QUE CODIFICA INCLUSO EXES Y DLL, APARTE DE LOS TIPICOS , AÑADIENDOLES EXTENSION .CSS

Otra variante de ransomware, que esta vez afecta a ficheros EXE y DLL aparte de BAT, BMP, GIF, HTM, INF. JPG, OCX, PNG, TXT, WAV, XML, etc, menos los que estan en carpetas que cuelgan de C:\WINDOWS para no afectar a los ficheros de sistema

Como caracteristicas importantes se puede ver que queda residente y que asocia la extensión .css al NOTEPAD.EXE, de forma que se pueda leer el texto que añade al principio de los ficheros modificados,

 

“Bonjour, nous somme des êtres humains sans emplois, en cherche pas les problèmes,
en veux juste nourrir nos familles, nous vous demandant de ne pas faire des bêtises avec nous,
Parce que ce n’est pas bien pour vous,
Nous avons crypté tous vos fichiers et nous demandons de nous Payer une rançon de 500 EURO pour débloquer vos fichiers,
Nous vous garantissons le déblocage totale de vos fichier et ne plus jamais entendre parler de nous,

Moyen de Payement:
contactez nous sur l’un de ces emails pour en savoir plus.

benitsanstravaille@outlook.fr

benitsanstravaille@yahoo.fr

benitsanstravaille@gmail.com

Toute demande de déblocage sans Payer sera automatiquement rejeté,

N’oubliez pas de préciser l’identifiant de votre Ordinateur sur le titre du mail, voici votre identifiant: 2C07DE53

En gis de bonne volonté et pour vous prouver que ce n’est pas une arnaque,
Nous allons décrypter un fichier gratuitement pour vous, à condition qu’il soit une photo, un Document PDF ou un fichier audio,
Veuillez nous envoyer un de vos fichiers Crypté en pièce-jointe à l’un des courriel cité au-dessus
et n’oubliez pas de préciser aussi l’identifiant de votre ordinateur pour que nous puissions localiser votre clé de décryptage parmi celle de nos clients.

Vous aurez une repense avec le Code de déblocage dans le même jour du payement.

Si vous supprimer ce fichier texte vous supprimer egalement votre fichier, regarder en dessous, votre fichier est la, Crypté en texte,

Veuillez nous excuser pour le désagrément.”

 

El fichero cuya ejecución provoca el desastre, en esta ocasion ha sido:

%Datos de Programa%\ Locker.exe (+h)

El cual pasamos a controla a partir del ELISTARA 36.16 de hoy

El preanalisis de virustotal ofrece el siguiente informe:

MD5 75ffe8f34caed9781662448041f4c850
SHA1 a480b3d8d970fc5bbcb2410e4c596dc6d3a811cb
Tamaño del fichero 493.5 KB ( 505344 bytes )
SHA256:
383cdd0d52de2b9a0944ae39daaf8d9b5dbb4e70c42670b6a41de853b030f49b
Nombre:
Locker.exe
Detecciones:
11 / 57

https://www.virustotal.com/es/file/383cdd0d52de2b9a0944ae39daaf8d9b5dbb4e70c42670b6a41de853b030f49b/analysis/1486392214/

Dicha versión del ELISTARA 36.16 que lo detecta y elimina, estará disponible en nuestra web a partir del 7.2 prox.

saludos

ms, 6-2-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies