NUEVAS VARIANTES DE CTBLOCKER QUE SE VAN RECIBIENDO POR MAIL

De la ejecución de ficheros anexados a mails no solicitados… y tras desempaquetar el ZIP y el CAB que contiene dicho ZIP, para llegar al SCR ejecutable que es el que infecta el ordenador, el cual codifica todos los ficheros de las unidades de Red a las que tiene acceso (incluido el servidor), vamos recibiendo incidencias de usuarios afectados, de los cuales ofrecemos algunos informes de los preanalisis de virustotal, para conocimiento de los interesados.

Aparte queremos constatar que actualmente nuestro ELISTARA ya detecta y elimina automaticamente todas la variantes que van apareciendo, siempre y cuando se lance en MODO SEGURO y se acepte  la eliminación de temporales que pregunta en su proceso, de manera que una vez terminado el escaneo, si se trata de este virus (que se identifica facilmente por que a los ficheros cifrados les añade una extension con letras variables, a diferencia del CRYPTOLOCKER que añade “.encrypted” o del TESLACRYPT que les añade “.ECC”, siendo estos tres los ransomwares que estan inundando internet estos últimos días), ya se habrá eliminado dicho virus.

Algunos preanalisis de virustotal al respecto:

MD5 46eca2fc9c7d4ede6ee79bb419c059cf
SHA1 8acbe92d55239930d3af29aba9168eff354190a3
Tamaño del fichero 80.0 KB ( 81920 bytes )
SHA256: f18c3d9f88cda1c939787539d034e56674cf448a24dd25a08aca4e6b38ee7f31
Nombre: halinghauserstr_67_58285_gevelsberg.scr
Detecciones: 22 / 56
Fecha de análisis: 2015-04-23 09:52:06 UTC ( hace 4 minutos )

0 1

Antivirus Resultado Actualización
ALYac Trojan.Agent.BJHH 20150423
AVG Crypt4.SLC 20150423
Ad-Aware Trojan.Agent.BJHH 20150423
Avast Win32:Dropper-gen [Drp] 20150423
BitDefender Trojan.Agent.BJHH 20150423
DrWeb Trojan.Upatre.320 20150423
ESET-NOD32 Win32/TrojanDownloader.Elenoocka.C 20150423
Emsisoft Trojan.Agent.BJHH (B) 20150423
F-Secure Trojan.Agent.BJHH 20150423
Fortinet W32/Kryptik.DFZV!tr 20150423
GData Trojan.Agent.BJHH 20150423
Kaspersky Trojan-Downloader.Win32.Cabby.cfmu 20150423
Malwarebytes Trojan.Agent.RSCR 20150423
McAfee Ransom-CTB.c!46ECA2FC9C7D 20150423
MicroWorld-eScan Trojan.Agent.BJHH 20150423
Microsoft TrojanDownloader:Win32/Dalexis.F 20150423
Panda Trj/Ransom.BH 20150423
Rising PE:Malware.FakeDOC@CV!1.9C3C 20150422
Sophos Troj/Agent-AMTG 20150423
Tencent Trojan.Win32.YY.Gen.3 20150423
ViRobot Trojan.Win32.CTB-Locker.69632.A[h] 20150423
nProtect Trojan.Agent.BJHH 20150423

y otro:

MD5 5539d60aa6999e07529bf9dc7301f125
SHA1 fdacd38e3af29551885b854a0f210896bfc87f99
Tamaño del fichero 68.0 KB ( 69632 bytes )
SHA256: 1fa01463a711e878ba40f7141b1b1e91e4d7de80c4fe2e308706ec781bdf8351
Nombre: a-1_satellite_services.scr
Detecciones: 21 / 55
Fecha de análisis: 2015-04-23 10:16:05 UTC ( hace 7 minutos )

0 1
Antivirus Resultado Actualización
AVG Crypt4.SLC 20150423
Ad-Aware Trojan.Agent.BJHH 20150423
Avast Win32:Dropper-gen [Drp] 20150423
BitDefender Trojan.Agent.BJHH 20150423
DrWeb Trojan.Upatre.320 20150423
ESET-NOD32 Win32/TrojanDownloader.Elenoocka.C 20150423
Emsisoft Trojan.Agent.BJHH (B) 20150423
F-Secure Trojan.Agent.BJHH 20150423
Fortinet W32/Kryptik.DFZV!tr 20150423
GData Trojan.Agent.BJHH 20150423
Kaspersky Trojan-Downloader.Win32.Cabby.cfmu 20150423
Malwarebytes Trojan.Agent.RSCR 20150423
McAfee Ransom-CTB.c!5539D60AA699 20150423
MicroWorld-eScan Trojan.Agent.BJHH 20150423
Microsoft TrojanDownloader:Win32/Dalexis.F 20150423
Panda Trj/Ransom.BH 20150423
Rising PE:Malware.FakeDOC@CV!1.9C3C 20150422
Sophos Troj/Agent-AMTG 20150423
Tencent Trojan.Win32.YY.Gen.3 20150423
ViRobot Trojan.Win32.CTB-Locker.69632.A[h] 20150423
nProtect Trojan.Agent.BJHH 20150423
y otro mas:

MD5 084977e75da089e29aa0b2c4dc2d4d00
SHA1 73a4c828f26c1f8f739d473c1a45174fa8a50210
Tamaño del fichero 980.5 KB ( 1004032 bytes )
SHA256: de3ad709bb613616bf881caf3d496025a524ad1c3a52c913297896926448b3e1
Nombre: xuf.exe
Detecciones: 25 / 56
Fecha de análisis: 2015-04-23 10:44:13 UTC ( hace 6 minutos )

0 6
Antivirus Resultado Actualización
ALYac Trojan.GenericKD.2316391 20150423
AVG Ransomer.HEO 20150423
Ad-Aware Trojan.GenericKD.2315979 20150423
Avast Win32:Dropper-gen [Drp] 20150423
Baidu-International Adware.Win32.iBryte.DFZM 20150421
BitDefender Trojan.GenericKD.2315979 20150423
Bkav HW32.Packed.309E 20150422
ClamAV Win.Trojan.Generickd-2562 20150423
ESET-NOD32 a variant of Win32/Kryptik.DFZM 20150423
Emsisoft Trojan.GenericKD.2315979 (B) 20150423
F-Secure Trojan.GenericKD.2315979 20150423
GData Trojan.GenericKD.2315979 20150423
Ikarus Trojan.Win32.Crypt 20150423
Kaspersky Trojan-Ransom.Win32.Foreign.mgkr 20150423
Malwarebytes Trojan.CTBLocker 20150423
McAfee RDN/Ransom!ex 20150423
MicroWorld-eScan Trojan.GenericKD.2315979 20150423
Microsoft Ransom:Win32/Critroni.B 20150423
Panda Generic Suspicious 20150423
Sophos Mal/Generic-S 20150423
Symantec Trojan.Cryptolocker.E 20150423
Tencent Trojan.Win32.Qudamah.Gen.7 20150423
TrendMicro TROJ_CRYPCTB.YVX 20150423
TrendMicro-HouseCall TROJ_CRYPCTB.YVX 20150423
nProtect Trojan.GenericKD.2315979 20150423

Una vez mas recordamos que esta infección se produce por ejecucion de anexados a mails que se reciben sin ser solicitados, y que conviene concienciar a los usuarios para evitar que lo hagan, especialmente en estos momentos que abundan en demasia este tipo de malwares, cuyas consecuencias son penosas (codificado de ficheros de datos de todas las unidades a las que tiene acceso la máquina infectada), y con el pago (NO ACONSEJABLE) al hacker para recuperacion de ficheros, por lo que además conviene tener al día una copia de seguridad fuera del alcance de las máquinas de la Red.

Ante cualquier duda, rogamos nos consulten.

saludos

ms, 23-4-2015