NUEVA VARIANTE DEL RANSOM PPTX QUE NOS HA LLEGADO HOY

Otra variante de este ransomware que codifica los ficheros de todas las unidades mapeadas (respetando %WinDir%), añadiendoles la extensión “.pptx”

Es derivado de los ya conocidos como Ransom.DOC, Ransom.DOCX, Ransom.RTF y/o Ransom.Lock

Se instala en
%Datos de Programa% (Conf.Local)\ %nombre%.exe
%WinIni%\ stst.vbs -> apuntando al EXE ejecutado

y donde ha cifrado algún fichero deja las instrucciones del “rescate” en el fichero

READ_ME.txt, con el siguiente texto:

________

Your files are Encrypted!
For data recovery needs decryptor.
How to buy decryptor:

1. Download “Tor Browser” from https://www.torproject.org/ and install it.

2. Open this link In the “Tor Browser”

http://huhighwfn4jihtlz.onion/sdlsgdewwbhr

Note! This link is available via “Tor Browser” only.
————————————————————-
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
https://huhighwfn4jihtlz.onion.top/sdlsgdewwbhr
https://huhighwfn4jihtlz.onion.link/sdlsgdewwbhr
————————————————————
Free decryption as guarantee.
Before paying you can send us 2 file for free decryption.
————————————————————
You unique ID
7B 5D 41 AA C4 45 5A 3B 38 8E F1 F1 23 8E 17 8C
CB FD 75 6E D9 23 2B 25 77 6E AB 3E F3 36 53 26
0B D6 AD 67 91 7C C4 DE 6D 67 0A 18 3A 71 0A 4D
32 E4 66 D7 FA 79 BD 15 82 8C 31 51 6B 92 0B 40
95 97 73 56 87 7F D0 FB 16 49 32 2F 3F 32 65 87
B2 13 14 F3 14 37 AE 16 09 A3 58 2C FD DB ED D2
68 8A 73 18 D9 44 4F FE 0A 89 06 01 A3 1E 58 80
4C 45 60 18 59 DC A0 04 21 EF D5 05 98 A5 59 C5
0C 07 AB 01 09 33 14 48 C2 A2 5F 86 78 94 0D F2
DF D3 5C 68 C6 20 21 D4 35 86 9D 0A F1 D2 83 66
A1 59 11 D1 15 10 8E F4 88 C4 E9 0E D1 83 CD C8
23 0A B1 8D 85 F8 D0 6C 84 84 91 C6 E7 B3 BE C8
46 62 00 26 E8 25 BB 49 28 AB B4 0A 87 09 40 A0
A0 AE E0 AA B1 C1 98 D8 84 D7 91 E0 33 80 93 0A
CF EF 2D 46 4C 8D FC AF A0 71 57 6F 2F F8 FD B5
74 2A 07 5C C7 43 70 6D 09 A9 92 5E 08 E2 FE 51

__________

Crea la siguiente clave para posteriores reinicios:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“BrowserUpdateCheck”=”%Datos de Programa% (Conf.Local)\ %nombre%.exe”

(donde %nombre% es el del EXE ejecutado inicialmente)

 

El preanalisis de virustotal ofrece el siguiente informe>

 

Algun AV, como Trend, lo identifica como el antiguo LOKI… ?

Lo pasamos a controlar a partir del ELISTARA 40.19 de hoy

saludos

ms, 27-11-2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies