NUEVO RANSOMWARE QUE APARTE DE CIFRAR LOS DATOS, PUEDE FASTIDIAR EL SISTEMA WINDOWS SI SE USA XP SIN PROTEGER
Hemos recibido otro malbicho que se presenta por el siguiente contenido en el fichero HOW_TO_DECRYPT_FILES.HTML que aparece en todas las carpetas analizadas:
Texto de HOW_TO_DECRYPT_FILES.HTML:
_______
To decrypt your files, follow instructions
Open your explorer, in the pathbar, enter %appdata%
Find the file encryption_key and send it to email: biggsurprise@tutanota.com or ochennado@tutanota.com
Await payment instructions.
________
Dicho fichero que pide el hacker es el siguiente:
%Datos de Programa%\ encryption_key
que le indica la encriptación usada en la máquina en cuestión.
La extensión añadida a los ficheros que cifra es “CYPHER” y lo grave para los XP es que tambien codifica los ficheros .SYS de todas las unidades mapeadas, fastidiando el sistema de modo que ya no puede volver a arrancar, si bien en Windows 7 y superior respeta los ficheros de %WinDir% y %Archivos de Programa% , evitando la pérdida del reinicio, aunque los cifrados, cifrados quedan !
Para los usuarios que aun usen XP y quieran evitar dicho percance, una PROTECCION puede ser marcar los ficheros de sistema con READ ONLY (“R”), al menos los .SYS, a los que hemos visto que afecta especialmente.
Algo parecido hace el ransomware GANDCRAB, al cifrar el contenido de los ficheros de la carpeta %Archivos de Programa%, con lo que se pierde el funcionamiento de los navegadores Chrome y Firefox, aunque el IE sigue funcionando al no precisar los ficheros de datos que cifra.
El preanalisis del fichero que queda residente, aunque cambia de nombre y ubicación en cada instalación, __________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.