Dado que la última variante del TESLACRYPT-V, no sobreescribe ni el nombre ni la extension del fichero que codifica con RSA4096, conviene saber que donde ha cifrado ficheros ha dejado su huella en tres ficheros de nombre RECOVERxxxxx.txt RECOVERxxxxx.png RECOVERxxxxx.html cuyo contenido tipico es el siguiente: ___________ NOT YOUR LANGUAGE? USE https://translate.google.com What’s the matter […]

Siendo como caracteristica diferencial mas visible respecto a las anteriores variantes del TESLACRYPT el que el que, esta variante “V”, ni cambia ni añade extension a la existente en los ficheros que codifica, ademas de otros detalles como el nombre de los ficheros de informacion, que ahora es RECOVER en lugar de RECOVERY de los […]

Estamos recibiendo muestras de una nueva gama de ransomware TESLACRYPT y vemos que estan haciendo “mejoras” … Es un surtido de cambios ! A veces implantan clave de lanzamiento, otras no, y el fichero de informacion se llama ahora RECOVER en lugar de RECOVERY, En algunas ya no añaden .MP3, y no modifican el nombre […]

Y paralelamente a los de la nueva variante U, aun se reciben algunos de la anterior variante T, que instalan clave de lanzamiento en el registro y se tiene que eliminar o borrar el fichero (o las dos cosas como hace el ELISTARA) para evitar que se relance en el siguiente reinicio. Los hashes SHA1 […]

Como variantes anteriores, esta nueva gama de TeslaCrypts que están descargandose hoy a traves de los downloaders anexados a los mails maliciosos que van recibiendose, de los que hemos indicado unos cuantos esta mañana que anexaban downloaders NEMUCOD, en un ZIP que contiene un JS a tal efecto, codifican la informacion de ficheros de datos […]

4 nuevos mails con diferente anexado, aunque todos descargan el mismo downloader NEMUCOD, pero que ahora descarga nueva variante de TESLACRYPT-U Siguen llegando mails anexando downloader NEMUCOD que descargan ransomwares Los ultimos 4 llevaban anexados sendos ficheros zip, que contienen ficheros JS con downloader NEMUCOD, cuyos hashes SHA1 1 resultan ser todos iguales: “F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> […]

Se están recibiendo mas mails maliciosos, hasta ahora con downloaders que descargan e instalan nuevas variantes de ransomwares de “moda”, como el TESLACRYPT El contenido del que nos ocupa, reza asi:   MAIL MASIVO MALICIOSO _____________________   Asunto: GreenLand Consulting � Unpaid Issue No. 90005 De: =?UTF-8?B?QW5nZWxpbmUgbWFjYWxpc3Rlcg==?= <macalisterAngeline328@wananchi.com> Fecha: 11/03/2016 15:19 Para: =?UTF-8?B?em9uYXZpcnVz?= <destinatario> Dear […]

Acabamos de recibir muestra de un usuario a quien el ELISTARA ha pedido que nos enviara muestra de un fichero sospechoso que ha aparcado en C:\muestras Dicho fichero ha resultado ser una nueva variante de TESLACRYPT-T que aun los antivirus actuales no detectan (por ser de muy reciente creación) El preanalisis de virustotal ofrece el […]

9 Nuevas muestras recibidas de variantes del ransowmare TESLACRYPT-T pasan a ser controladas a partir del ELISTARA 34.13 de hoy La identificacion a traves de los hashes correspondientes pfrecen esta informacion: “73A5E58F49E28277BA1009E89DC5F88BFF9A742A” -> 87(02).vir 470016 “CC24F0B73DB26490B39A867584FD1724F3881B38” -> 69(02).vir 470016 “82DFD95577956BA615DC57D23349B4E35C2F00D1” -> 93(01).vir 470016 “0B8C0C99FCB3067B1BB0932E1B3B2B91C0217BF7” -> 80(01).vir 470016 “85FB98F8D8AE2FC02AC6CD71CA047716FC04692A” -> 25(2).exe 470016 “93DD327AD0CC8203B121AE50795550B8296C6D98” -> 69(1).exe 555008 […]

Con estos hashes se presentan los ultimos ransomwares TESLACRYPTS recibidos hoy: “AD621D950B892A3A10BFF9CA52F7665F47AE426A” -> 80(2).exe 443904 “644C85BC1E8E48B935349548C057C68E3F9A18A4” -> 85(4).exe 595456 “83BEA8AAF01B9122B79EA94AB4D52393A088ECD6” -> 80(3).exe 601600 “89F551218C046FA84DD1555881B5A6BE8D48A873” -> 80(4).exe 553984 Dos de ellos indican en sus propiedades fabricantes conocidos, como en el casi del que ofrecemos el preanalisis de virustotal, que indica ser de Microsoft Corporation ! Todos […]

  Tal como informabamos esta mañana de una nueva muestra del Locky, ahora nos acaba de llegar otra, que, si bien no es tan prolifico, causa el mismo estropicio al cifrar los ficheros de datos ! Pasamos a añadir su control en el ELISTARA 34.12 de hoy, aunque desaparezca fichero, carpeta y claves de lanzamiento […]

A partir del ELISTARA 34.12 de hoy, pasamos a controlar las últimas variantes que nos han llegado del ransomware de moda, el TESLACRYPT-T Los hashes SHA1 de dichas muestras ofrecen los siguientes datos: “52556B9FD714C4EE7E4307BB61CD2C78382D6ED0” -> 80(1).exe 340480 “5275B75C285430E01CBDE78EBA48089308133A51” -> 85(1).exe 340480 “4BFD1D319ACEBE23580AE06BF43C710AD0852D76” -> 34(1).exe 340480 “3FC25405D1F20D859B5CBBF015F4CD21EC16A86D” -> 25(1).exe 340480 “10D95B12F8F5F63046F4A3B43DBE16A3281F6087” -> 87(1).exe 340480 “ADAC40C0118F3DA64661FD72B284DBA6B04111D6” -> […]