MUESTRA RECIBIDA PARA ANALIZAR DESDE GUADALAJARA (MEXICO) Pasado a analizar la muestra recibida en el fichero Fast-vrusencriptadorphobos-umbral.ZIP, (que contiene el fichero fast.exe), ofrecemos el informe de virustotal al respecto>   Lo pasamos a controlar como RANSOM DEVER a partir del ELISTARA 42.85 de hoy El informe que presenta al respecto es el siguiente: ……………. All […]

Tras quedar residente, cifra ficheros, incluyendo EXEs y DLLs (respetando %WinDir% y %Archivos de Programa%), añadiendoles la extension «.id[C8E1E393-2275].[checkcheck07@qq.com].Adame» …………. MENSAJE DE DICHO RANSOMWARE ADAME: All you files have been encrypted due to a security problem with your PC. If you want to restore them, there are two way of contact. Mail contact – checkcheck07@qq.com […]

Recibida la muestra del fichero empaquetado en RAR: SHAOFAO.EXE.Muestra EliStartPage v41.12 Resulta ser el fichero SHAOFAO.EXE cuyo preanalisis de virustotal ofrece el siguiente informe> Como puede verse en dicho informe lo detectan como variante de Trojan:Win32/Occamy.C (Microsoft), cuya descripción se puede ver en https://www.pcrisk.es/guias-de-desinfeccion/8873-occamy-trojan McAfee lo detecta como Ran-Phoenix!FE242503D4D9 Y nosotros lo pasamos a controlar […]

Una nueva variante de ransomware es el que se deriva del Trojan Chapak, pero potenciado, ahora cifrando ficheros incluso EXE y DLL, menos los de %winDir%, añadiendoles la extension «.promorad2» De entrada podemos ver el texto que presenta en las carpetas analizadas: _readme.txt conteniendo el siguiente texto: ************ ATTENTION! Don’t worry my friend, you can […]

La última muestra recibida del malware ransom crypted 007 ofrece el siguiente informe en el preanalisis de virustotal::> Codifica ficheros BAT, BMP, GIF, JPG, MID, PNG, TXT, WAV, XML, ZIP, etc… de todas las unidades mapeadas (respetando %Archivos de Programa% y %WinDir%) Sigue añadiendo la extensión crypted.007 a los ficheros sfectados Pone como Fondo de […]

Se trata de un nuevo malware que se hace llamar RANSOM, pero en lugar de cifrar los ficheros, los borra, dejando en las carpetas afectadas el siguiente mensaje: __________ Warning! Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.1 BTC to our BitCoin […]

Un nuevo ransomware que añade sicck a los cifrados, tras la dirección de email del hacker para que se contacte con él a efectos de pagar el rescate (!) fastidia al no poder reiniciar windows tras el cifrado, ya que tambien afecta al NTLOADER (NTLDR) de losl XP, que se encuentra en el ROOT, y […]

Descubierta ayer la primera versión de este ransomware, hoy ya tenemos una variante que añade un 2 al consabido añadido del .SHRUG , quedando los ficheros cifrados con un añadido de .SHRUG2, y ofreciendo el siguiente informe en el preanalisis de virustotal Con el actual ELISTARA ya controlamos esta variante, que ofrece esta información en […]

Una nueva variante del ransomware GANDCRAB, que pasamos a controlar como GANDCRAB-B, está cifrando ficheros al estilo del anterior GANDCRAB pero ahora añadiendo KRAB en lugar de CRAB los ficheros cifrados. Se presenta con este texto (acortado respecto al original eliminando los datos del KEY) —= GANDCRAB V4 =— Attention! All your files, documents, photos, […]

Están llegando muestras de una nueva versión 3 del RANSOM GANCRAB , que hasta ahora en versiones anteriores las identificabamos como MALWARE BrResMon, y que segun fuera el sistema operativo no cifraba ficheros, ni identificaba con una imagen de fondo del escritorio las acciones realizadas. Dicha imagen es la siguiente: [HKEY_CURRENT_USER\Control Panel\Desktop] «Wallpaper»=»%WinTmp%\ pidor.bmp» Cuyo […]

A partir del ELISTARA 37.97 de hoy pasamos a controlar esta nueva variante de malware que queda residente e instala un posible PWS (para captura de datos) en: %Datos de Programa%\ CHKDSK0.exe %Datos de Programa%\ winup17.dat -> captura de datos El preanalisis de virustotal ofrece el siguiente informe: Dicha versión del ELISTARA 37.97 que lo […]

Con texto igual en varios mails que estám llegando, se sigue recibiendo un fichero empaquetado .7z que contiene un vbs con el downloader NEMUCOD, que descarga e instala el típico LOCKY de moda, que añade .ykcol al final de la extension de los ficheros cifrados. El texto de los actuales mails reza asi: Asunto: HERBALIFE […]