NUEVO RANSOMWARE “RAPIDO”
Tras varios días de ir controlando diferentes variedades de un malware, que solo veiamos que se repetía cambiando de nombre, hoy hemos visto como “despertaba”, y es que deja instalado un valor con un día despues de haber sido infectado, y al arrancar con dicho día, encripta todos los ficheros añadiendoles la palabra RAPIDO, cuando es mas bien lento, ya que se activa al día siguiente de la infección, borrando el fichero causante del estropicio y dejando en su lugar un TXT con las instrucciones del rescate.
Queda residente y detiene los Procesos del “Administrador de Tareas” y del “Editor del Ragistro”.
Instala, en la siguiente clave, el valor “Date”
[HKEY_CURRENT_USER\Software\FJgzrRMYFeZP”
“date”=”XX/XX/2019” -> un dia mas que el de la infección
De manera que el dia de la infección el usuario infectado no se entera, pero al día siguiente procede con el cifrado de todos los ficheros !!!
total ofrece el siguiente informe::>
y en el texto del rescate, que copia en cada carpeta donde ha cifrado ficheros, pide 500 US$ en un fichero txt que sustituye la llamada desde el registro de sistema al fichero infectado, que es eliminado, presentando lo siguiente:
______
HOW TO RECOVER ENCRYPTED FILES.txt
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAB7BAD3JZHJE0AkCAN=s8=orp7W8yR7Yktd0XVfjWI63TjChoYrsqaWV=FKWrOPTXKUYr1ZFx3JSviePOtwk7+THLw2
6vHMxfoLnwagH6LT=TVx+rIfqXTIOtdLW+mhRJKJwxnUVb3Nr2nQYzKg9oCbRUtNBGqYUi7Q03JS5lxmkxjD0LM7erPoMnVkEsWY
mHs+XSizZmbhobgZeFPMLTlqseJFo5hK9gkLxuDkF=5OwtxXUS+ebDzlEWZhTUGywiD=No2AC8rtCO91pto=1hBwHW=TvUqbezXB
UCd0Kp2oCt+mQNy5g5Km3YSlQbOYERDRljCuFnRuQ+5IeEerOkMXFhHIZw6pAo=0=14uvmX3JyX48KGGypoVl0cyN6lYAnmQvABE
XRzfJnmvwZZPIdtRKikNWxmg3FnnAk
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: rapido78@protonmail.com / rapido78@tutanota.com
You have to purchase the decryptor for 500USD in Dash
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
‘Buy bitcoins’, and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
______
Lo pasamos a controlar a partir del ELISTARA 40.60 de hoy, siendo muy novedoso y cambiante, ya que desde el viernes pasado lo estamos viendo sin saber lo que hacía si no se eliminaba a tiempo.
Mucho cuidado con él, ahora que sabemos lo que hace !!!
saludos
ms, 4-2-2019
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.