 |
||
NOVEDADES SOBRE EL VIRUS QUE CIFRA FICHEROS CON EL CRYPTOLOCKERmsc hotline sat Tuesday, January 14, 2014 De un cliente que ha sido afectado por dicho virus, cifrando los ficheros de datos del servidor, hemos recibido dos ficheros ZIP anexados en los mails causantes de dicho estropicio. Si bien una vez ejecutado el malware, empieza el proceso de cifrado con RSA 2048 de los ficheros de datos indicados, de lo que se trata es de eliminar la fuente de dicho malware, para que no repita dicha acción si se restauran los ficheros desde la copia de seguridad, para lo que pasamos a implementar su control y eliminacion a partir del ELISTARA 27.14 de hoy Aparte, aunque los antivirus lo conozcan, las actualizaciones del malware hacen que nuevas variantes no conocidas, pasen desapercibidas, por lo cual recomendamos configurar el nivel heuristico del VirusScan de McAfee a nivel Alto, para detectar en lo posible dichas nuevas variantes de tan fatídico malware ! Recomendamos leer en las NOTICIAS de nuestra web la información al respecto, que ya enviamos por mail a los apuntados a dicho servicio, pero que conviene refrescar, especialmente en este caso: http://www.satinfo.es/noticies/2013/de-vueltas-con-el-cryptolocker/ Los mails en los que se han recibido dichos ficheros presentaban esta forma: Dear Member Here is a report on your early 2013 Federal Tax return report. Kindly download the attachment to view your report and start filling for 2013 return as early as second week of December. Thanks Internal Revenue Service 915 Second Avenue, MS W180 Seattle, WA 98174-0041 http://www.irs.gov/ ____________ y en el segundo mail esta otra: Hello xavier.marti, I attached the December Invoice that contains the Property Tax and the other document showing the details mentioned below. I am at your disposal for any further question. Waiting for your instructions concerning the document attached. Valentine Schultz ____________ Los ficheros anexados, una vez desempaquetados, resultan ser ficheros con doble extension, .PDF.EXE, el primero con icono de Acrobat y el segundo con el icono de un llavero con llaves: Early2013TaxReturnReport_983456948574980572398456324965984573984509324.pdf.exe USBank - December 2013_ID39485394562093456309847589346598237598320471237481923427583450.pdf.exe Los preanalisis de virustotal de dichos ficheros, ofrecen estos informes: MD5 fe20a23bec91b7ec1e301b571ce91100 SHA1 128c404b4dde28281bee464c8676888f4d351875 File size 100.0 KB ( 102400 bytes ) SHA256: 778814211d21f59ac28d32b722404a177ff67ebb9024394ed699f9abc0ce6305 Nombre: Early2013TaxReturnReport_9834569485749805723984563249659845739845... Detecciones: 37 / 48 Fecha de análisis: 2014-01-14 16:28:06 UTC ( hace 0 minutos ) 0 10 Antivirus Resultado Actualización AVG Zbot.EVJ 20140114 Ad-Aware Trojan.GenericKD.1493384 20140114 AntiVir TR/Dldr.Fareit.C 20140114 Antiy-AVL Trojan/Win32.Fareit 20140114 Avast Win32:Malware-gen 20140114 Baidu-International Trojan.Win32.InfoStealer.am 20131213 BitDefender Trojan.GenericKD.1493384 20140114 Bkav W32.Clod540.Trojan.be24 20140114 CAT-QuickHeal TrojanPWS.Fareit 20140114 Commtouch W32/Trojan.KHPU-6775 20140114 DrWeb Trojan.DownLoader9.22851 20140114 ESET-NOD32 Win32/PSW.Fareit.A 20140114 Emsisoft Trojan-PSW.Win32.Fareit (A) 20140114 F-Prot W32/Trojan3.HBO 20140114 F-Secure Trojan.GenericKD.1493384 20140114 Fortinet W32/Fareit.AMZS!tr 20140113 GData Trojan.GenericKD.1493384 20140114 Ikarus Trojan.Agent 20140114 K7AntiVirus Password-Stealer ( 003bbfec1 ) 20140114 K7GW Password-Stealer ( 003bbfec1 ) 20140114 Kaspersky Trojan-PSW.Win32.Fareit.amzs 20140114 Malwarebytes Trojan.FakeBankDoc 20140114 McAfee Generic.rm 20140114 McAfee-GW-Edition Generic.rm 20140114 MicroWorld-eScan Trojan.GenericKD.1493384 20140114 Microsoft PWS:Win32/Fareit 20140114 Norman Fareit.HA 20140114 Panda Trj/Zbot.Q 20140114 Sophos Troj/Agent-AFMX 20140114 Symantec Trojan.Zbot 20140114 TotalDefense Win32/Fareit.WTRGObB 20140114 TrendMicro TSPY_FAREIT.AUN 20140114 TrendMicro-HouseCall TSPY_FAREIT.AUN 20140114 VBA32 TrojanPSW.Fareit 20140114 VIPRE Trojan.Win32.Generic!BT 20140114 ViRobot Dropper.Agent.102400.R 20140114 nProtect Trojan.GenericKD.1493384 20140114 y el otro: MD5 2089eac526883c98d67d399449b461db SHA1 5f3607fd72b36152ed80c3e2f3c4d569f307a65c File size 97.8 KB ( 100153 bytes ) SHA256: a7a62a86845b1f0038ef0d3225fdd27de36ea205e0fa335780cc05be523ffe1f Nombre: USBank - December 2013_ID3948539456209345630984758934659823759832... Detecciones: 37 / 49 Fecha de análisis: 2014-01-14 16:30:14 UTC ( hace 0 minutos ) 0 15 Antivirus Resultado Actualización AVG Zbot.EWA 20140114 Ad-Aware Trojan.Agent.BBIW 20140114 AntiVir TR/Agent.cada.24594 20140114 Avast Win32:Malware-gen 20140114 Baidu-International Trojan.Win32.InfoStealer.aCla 20131213 BitDefender Trojan.Agent.BBIW 20140114 Bkav HW32.CDB.421a 20140114 CAT-QuickHeal TrojanPWS.Fareit 20140114 Commtouch W32/Trojan.HZOB-1087 20140114 Comodo TrojWare.Win32.Injector.~AVAF 20140114 DrWeb Trojan.DownLoader9.22851 20140114 ESET-NOD32 Win32/PSW.Fareit.A 20140114 Emsisoft Trojan-PSW.Win32.Fareit (A) 20140114 F-Prot W32/Trojan5.JHN 20140114 F-Secure Trojan.Agent.BBIW 20140114 Fortinet W32/Fareit.ANAQ!tr 20140113 GData Trojan.Agent.BBIW 20140114 Ikarus Trojan-Spy.Zbot 20140114 K7AntiVirus Trojan ( 00071a9a1 ) 20140114 K7GW Trojan ( 00071a9a1 ) 20140114 Kaspersky Trojan-PSW.Win32.Fareit.anaq 20140114 Malwarebytes Trojan.Agent.ED 20140114 McAfee Generic BackDoor.u 20140114 McAfee-GW-Edition Generic BackDoor.u 20140114 MicroWorld-eScan Trojan.Agent.BBIW 20140114 Microsoft PWS:Win32/Fareit 20140114 NANO-Antivirus Trojan.Win32.Gimemo.csmrix 20140114 Norman Injector.FVXM 20140114 Panda Trj/Zbot.Q 20140114 Sophos Troj/Agent-AFNU 20140114 Symantec Trojan.Zbot 20140114 TotalDefense Win32/Fareit.XGVefYD 20140114 TrendMicro TSPY_FAREIT.AVE 20140114 TrendMicro-HouseCall TSPY_FAREIT.AVE 20140114 VIPRE Win32.Malware!Drop 20140114 ViRobot Trojan.Win32.U.Injector.100153 20140114 nProtect Trojan-PWS/W32.Fareit.100153 20140114 Monitorizando dichos ficheros, la ejecucion del primero genera dos EXES en fichero temporal y finalmente desaparecen, dejando una DLL que tambien pasamos a controlar como TROJAN SEFNIT.B Dichos EXE, aunque desaparecen en la monitorizacion, los añadimos en el ELISTARA como Downloader TEPFER / FAREIT, ya que asi lo llaman algunos AV. Como herencia de dicho proceso queda residente una DLL, lanzada desde: O4 - HKCU\..\Run: regsvr32.exe "C:\Documents and Settings\Sergio\Configuración local\Datos de programa\Odics\SecurityNetHelper.dll" El preanalisis de dicha DLL ofrece este informe: SHA256: f1c77c867368907c23bade3ba02bbf882afd39ab66ef4fefc5ed377d777af0aa Nombre: SecurityNetHelper.dll Detecciones: 24 / 48 Fecha de análisis: 2014-01-14 16:39:34 UTC ( hace 2 minutos ) MD5 c690acf5a9acc69c7fa6e490ec47c337 SHA1 3d967f271671ee907b39021033012661f173915b File size 22.0 KB ( 22528 bytes ) 0 1 Antivirus Resultado Actualización AVG Crypt2.CHDC 20140114 Ad-Aware Trojan.GenericKD.1490642 20140114 AntiVir TR/Sefnit.bghu 20140114 Avast Win32:Malware-gen 20140114 Baidu-International Trojan.Win32.Sefnit.CV 20131213 BitDefender Trojan.GenericKD.1490642 20140114 Comodo UnclassifiedMalware 20140114 ESET-NOD32 a variant of Win32/Sefnit.CV 20140114 Emsisoft Trojan.GenericKD.1490642 (B) 20140114 F-Secure Trojan.GenericKD.1490642 20140114 Fortinet W32/Sefnit.CV!tr 20140113 GData Trojan.GenericKD.1490642 20140114 Ikarus Trojan.SuspectCRC 20140114 Kaspersky UDS:DangerousObject.Multi.Generic 20140114 Kingsoft Win32.Troj.Generic.a.(kcloud) 20130829 McAfee Artemis!C690ACF5A9AC 20140114 McAfee-GW-Edition Artemis!C690ACF5A9AC 20140114 MicroWorld-eScan Trojan.GenericKD.1490642 20140114 Panda Trj/Agent.JJW 20140114 Sophos Troj/Agent-AFMS 20140114 Symantec Trojan Horse 20140114 TrendMicro-HouseCall TROJ_GEN.F47V0107 20140114 VIPRE Trojan.Win32.Sefnit.cv (v) 20140114 nProtect Trojan.GenericKD.1490642 20140114 y la DLL creada por los EXES generados por el otro fichero USBank - December 2013_ID39485... es identica a la del Early2013TaxReturnReport_98345694857..., por lo que vemos que es lo comun entre ambos mails, e igualmente se lanza desde el registro en la misma clave que la anterior: O4 - HKCU\..\Run: regsvr32.exe "C:\Documents and Settings\Sergio\Configuración local\Datos de programa\Odics\SecurityNetHelper.dll" A partir del ELISTARA 29.14 de hoy, pasamos a controlar dicha DLL y su clave de carga, ya que es lo que finalmente vemos que deja instalado este supuesto generador del CRYPTOLOCKER Los demas ficheros creados por el proceso, podrían ser complementarios del sistema de cifrado, y consecuenctemente del de descifrado si el usuario decide pagar al hacker para el descifrado de dichos ficheros, por lo cual no los eliminamos quedando a disposición del usuario (Por ejemplo el SecurityNetHelper.lck de 228 kb, que podría ser la clave publica para cada caso. saludos ms, 14-1-2014 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|