De un cliente afectado por una nueva versión de este ransomware, que posiblemente sea una variante del TROLDESH , nos ofrece un fichero cifrado con el mismo, por lo que vemos el sufijo que utiliza como añadido a la extensión, detrás del nombre del fichero cifrado: …[writehere@qq.com].btc y vemos que la información que ofrece en […]

Tras varios días de ir controlando diferentes variedades de un malware, que solo veiamos que se repetía cambiando de nombre, hoy hemos visto como “despertaba”, y es que deja instalado un valor con un día despues de haber sido infectado, y al arrancar con dicho día, encripta todos los ficheros añadiendoles la palabra RAPIDO, cuando […]

Nos llegan muestras de ficheros cifrados y del texto correspondiente a la información de dicho cifrado: ______________ —= GANDCRAB V5.0.4 =— ***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED*********************** *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS***** Attention! All your files, documents, […]

ETERNUS LT140 de Fujitsu Desde la irrupción, en 2017, de WannaCry y NonPetya, el ransomware se ha instalado como uno de los métodos de ataque más utilizados y, a su vez, más temidos por las organizaciones. Ese miedo se funda no solo en las pérdidas económicas que se pueden derivar de un posible pago de […]

No ha empezado bien el año, desde el punto de vista de la seguridad informática. La firma de seguridad McAfee ha anuciado la expansión por Europa y Estados Unidos de un nuevo y peligroso ransomware destinado a los gamers, llamado Anatova. Anatova es un ransomware que se esconde en un fichero que muestra un icono […]

A partir del ELISTARA 40.52 de hoy, pasamos a controlar una nueva familia de ransomwares, que se caracteriza por añadir .EXE a los ficheros cifrados, incluso a los .DLL El preanalisis de virustotal ofrece el siguiente informe: En las carpetas donde ha cifrado ficheros, crea el fichero how_to_back_files.html con el siguiente texto: _____________ ☠ Your […]

Se estima que el grupo responsable del ransomware Ryuk puede haber obtenido cerca de 700 BTC, más de dos millones de euros. Ryuk Este ransomware empezó a detectarse a finales del verano de 2018, siendo utilizado principalmente en campañas dirigidas hacia empresas. No muestra capacidades técnicas sofisticadas ni ha sido detectado en campañas masivas de […]

Una reciente variante de ransomware Dharma añade .adobe a los ficheros cifrados pidiendo rescate en BitCoins Si es el caso de haber sido infectado por dicho ransomware y se tienen cifrados los ficheros, puede probarse primero restaurando la copia de seguridad, y si no se dispone de ella, ver si el virus no ha borrado […]

Hemos recibido otro malbicho que se presenta por el siguiente contenido en el fichero HOW_TO_DECRYPT_FILES.HTML que aparece en todas las carpetas analizadas: Texto de HOW_TO_DECRYPT_FILES.HTML: _______ To decrypt your files, follow instructions Open your explorer, in the pathbar, enter %appdata% Find the file encryption_key and send it to email: biggsurprise@tutanota.com or ochennado@tutanota.com Await payment instructions. […]

Otro de los ransomwares que sobreescribe hasta los ficheros EXE de todas las carpetas menos %WinDir% es este que añade “DoubleOffset” al final del nombre del fichero cifrado, y delante pone este prefijo: “email-biger@x-mail.pro.ver-CL 1.5.1.0.id-**********-************************.fname-” AL ejecutarlo queda residente en el ordenador desde donde se ejecuta, procediendo a continuación a codificar todos los ficheros indicados […]

De momento, ha infectado más de 100.000 equipos y va en aumento. ¿Por qué es diferente al resto de ransomwares vistos? Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no pide como rescate un pago en Bitcoin, sino 110 yuanes (alrededor de 14€) que se deben enviar a través […]

Otro especimen de ransomware cifrador de ficheros y con chantaje de pago para “descifrarlos” (no recomendable), es este RANSOM LIGHTNING cuyo preanalisis con virustotal ofrece el siguiente informe> El texto que ofrece en las carpetas donde se han cifrado documentos, es el siguiente: ___________ !=How_to_decrypt_files=!.txt: Hello ! All your files have been encrypted ! Don’t […]