NUEVO TANDEM DE MALWARES: DOWNLOADER WINDRV DESCARGA Y EJECUTA RANSOMWARE MARATHON
Un downloader que desaparece al ser ejecutado, pero antes descarga y ejecuta un ransomware que añade nombres variables a los ficheros que codifica.
El downloader cambia el nombre de la carpeta donde se ubica, en cada instalación, y se coloca en la lista de autorizaciones del CortaFuegos como “Microsoft Windows Driver”
Y el ransomware codifica ficheros añadiendoles la extension variable “.*****” (solo de datos y respetando %WinDir%)
y allí donde ha codificado algún fichero deja los ficheros de información:
=_THIS_TO_FIX_*****.txt
=_THIS_TO_FIX_*****.html
=_THIS_TO_FIX_*****.url
con el siguiente contenido:
ejemplo: hpeECbqS CqXdyb qhBGhoryp
Your ID: TFtueepCLCCQPR2b
Your extension: RGEf
() Your files are encrypted!
(kBFflrEv) Download and install Tor Browser:
http://www.torproject.org/download/download-easy.html
() Follow this link via Tor Browser:
http://royal25fphqilqft.onion/
hpeECbqS CqXdyb qhBGhoryp
Your ID: TFtueepCLCCQPR2b
Your extension: RGEf
() Your files are encrypted!
(kBFflrEv) Download and install Tor Browser:
http://www.torproject.org/download/download-easy.html
() Follow this link via Tor Browser:
http://royal25fphqilqft.onion/
A los malware ejecutables los pasamos a controlar a partir del ELISTARA 38.60, que estará disponible en nuestra web a partir del prox. 7/3
saludos
ms, 6/3/2018
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.