NUEVO RANSOMWARE CRYPTON QUE CONSTA DE TRES FASES, DLDR, DR Y PROPIAMENTE EL RANSOMWARE, EMPIEZA A PROLIFERAR EN INTERNET
Un nuevo ransomware se identifica por el correo electronico que añade a los ficheros cifrados, ” ransomed@india.com ”
El primer contacto es a traves del downloader, a saber:
(dldr)ae645980.gxe
https://www.virustotal.com/es/file/da4994f015c28cf39f04b0b820b440f72cfa3cf6bc13bfc8e26861d14b70d18a/analysis/1526632112/
Luego interviene el dropper, generador e instalador de dicho ransomware:
(dr)adfe6c02.gxe
https://www.virustotal.com/es/file/957d14bd54ffa14efd5048d7365e3deafee94f9ac97769c7a6a8c0e29c75206a/analysis/1526632227/
Y la última parte es el ransomware propiamente dicho:
Usuario_body.gxe
https://www.virustotal.com/es/file/e2face0f8d175fb2a38e37698f9ec86714af9e7595349002610e1e5828e2cb76/analysis/1526631404/
Cifra ficheros, incluidos EXEs, respetando %WinDir% añadiendoles la extensión “.*********.ransomed@india.com”
(donde ********* es un identificador variable en cada infección)
A partir del ELISTARA 39.07 se detectan y eliminan por MD5 los tres ficheros causantes del estropicio, antes de ser cifrados, claro, ya que con ello quedan inutilizados.
saludos
ms, 18-5-2018
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.