MAS VARIANTES DEL RANSOMWARE SAGE, QUE AÑADE .sage A LOS CIFRADOS, Y QUE PASAMOS A CONTROLAR CON ELISTARA
Está siendo habitual la presencia de este ransomware entre las muestras que nos llegan a diario, y que si bien se autoborra una vez cifrados los ficheros, no se conoce actualmente herramienta pública de descifrado.
A partir del ELISTARA 36.27 se controla esta nueva variante del “SAGE 2.2” (hasta ahora conocíamos la 2.0)
El preanalisis de VIRUSTOTAL ofrece este informe:
MD5 fad9bfdc425989abe3f938074f894394
SHA1 1491b3cfec359fa98dbea5d78fa1d6b1f9d0ea2c
Tamaño del fichero 210.5 KB ( 215552 bytes )
SHA256:
17ab2b19045fddfb7fa01ffb7305ad9f2c0bf419acf8c942930b3c0bf579c1ff
Nombre:
fad9bfdc.exe
Detecciones:
22 / 55
Fecha de análisis:
2017-02-21 10:35:14 UTC ( hace 6 minutos )
https://www.virustotal.com/es/file/17ab2b19045fddfb7fa01ffb7305ad9f2c0bf419acf8c942930b3c0bf579c1ff/analysis/1487673314/
– Queda residente.
– Codifica ficheros BAT, BMP, GIF, JPG, PNG, TXT, WAV, XML, etc…
de todas las unidades mapeadas (respetando %WinDir%)
A los ficheros codificados les añade la extensión “.sage”
– Asocia la extension “.sage” a un nuevo tipo de archivo “sage.notice”
y el autoborrado lo hace lanzando el fichero creado por él:
%WinTmp%\__config****.bat
cuyo contenido es el siguiente:
:abx
ping 127.0.0.1 -n 2 > nul
del /A /F /Q “%Datos de Programa%\ QUBHwnpo.exe”
if exist “%Datos de Programa%\ QUBHwnpo.exe” goto abx
del /A /F /Q “%Datos de Programa%\ QUBHwnpo.exe”
Dicha versión del ELISTARA 36.27 que lo detecta y elimina, estará disponible en nuestra web a partir del 22-2 prox.
saludos
ms, 21-2-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.