NUEVA VARIANTE DE RANSOMWARE CRYPTOWALL 4 QUE PASAMOS A CONTROLAR CON ELISTARAmsc hotline sat Tuesday, December 1, 2015 A traves de un asociado que ha sufrido un cifrado por culpa de una variante de CRYPTOWALL4, la familia de Cryptowalls que ademas de cifrar los documentos de datos, tambien cifra el nombre de los ficheros afectados y su extensión, para dificultar mas si cabe la restauración de dichos ficheros desde la copia de seguridad. En este caso hemos podido ver aun la clave de registro que lanza el proceso mientras está en uso, que una vez terminada la tarea de dicho cifrado, es borrada junto con el fichero causante del estropicio, y de la carpeta y fichero creado por dicho proceso malicioso. En este caso hemos podido ver que el nombre de la clave creada y el fichero que lanza tienen una caracteristica comun a otras muestras conseguidas al cazar el malware a medio proceso de cifrado, y es que la primera parte del noimbre de la clave y la ultima parte del nombre son iguales, lo cual pasaremos a controlar a partir del ELISTARA 33.47 de hoy, junto con el control de la nueva muestra de la que ofrecemos preanalisis de virustotal: MD5 eaa9f063e0754db3c4e51f39d4e91fb2 SHA1 cb9eb2d3b7599de9541d3167dfdacf20ae6e5177 File size 318.0 KB ( 325641 bytes ) SHA256: 53b509eb02c3e2effcfc86bad0a0dc559fb2ce92e33e4146cd6958ccbe0cbf47 File name: E2D62FEF.EXE.VIR Detection ratio: 35 / 55 Analysis date: 2015-12-01 09:39:30 UTC ( 22 minutes ago ) 0 2 Antivirus Result Update ALYac Trojan.GenericKD.2897423 20151201 AVware Trojan.Win32.Generic!BT 20151201 Ad-Aware Trojan.GenericKD.2897423 20151130 Agnitum Trojan.Yakes!hUF62BRg4L0 20151130 AhnLab-V3 Trojan/Win32.Crowti 20151130 Antiy-AVL Trojan/Win32.Yakes 20151201 Arcabit Trojan.Generic.D2C360F 20151201 Avast Win32:Malware-gen 20151201 Avira TR/Crypt.ZPACK.218243 20151201 Baidu-International Trojan.Win32.Yakes.nowh 20151201 BitDefender Trojan.GenericKD.2897423 20151201 Cyren W32/Ransom.UMZV-0070 20151201 DrWeb Trojan.DownLoader17.61635 20151201 ESET-NOD32 Win32/Filecoder.FJ 20151201 Emsisoft Trojan.GenericKD.2897423 (B) 20151201 F-Secure Trojan.GenericKD.2897423 20151201 Fortinet W32/Yakes.FJ!tr 20151201 GData Trojan.GenericKD.2897423 20151201 Ikarus Trojan.Win32.Filecoder 20151201 K7AntiVirus Riskware ( 0040eff71 ) 20151201 K7GW Riskware ( 0040eff71 ) 20151201 Kaspersky Trojan.Win32.Yakes.nowh 20151201 Malwarebytes Ransom.FileCryptor 20151201 McAfee RansomCWall-FBJ!EAA9F063E075 20151201 McAfee-GW-Edition RansomCWall-FBJ!EAA9F063E075 20151201 MicroWorld-eScan Trojan.GenericKD.2897423 20151201 Microsoft Ransom:Win32/Crowti.A 20151201 NANO-Antivirus Trojan.Win32.DownLoader17.dyxwlw 20151201 Panda Trj/GdSda.A 20151130 Qihoo-360 QVM07.1.Malware.Gen 20151201 Sophos Mal/Ransom-DK 20151201 Symantec Trojan.Cryptodefense 20151130 TrendMicro TROJ_GEN.R0EDC0CKU15 20151201 VIPRE Trojan.Win32.Generic!BT 20151201 nProtect Trojan.GenericKD.2897423 20151201 Y concretamente en el log del SPROCES vemos el lanzamiento de dicho malware: O4 - HKCU\..\Run: C:\Documents and Settings\usuario\Datos de programa\62feffd32\e2d62fef.exe En el cual se ve que los primeros 5 digitos del valos de la clave, en este caso "62fef", coinciden con los ultimos 5 del nombre del fichero lanzado, y ademas que el valor de la clave completo, en este caso "62feffd32" coincida con el nombre de la carpeta que contiene el fichero, lo cual hasta ahora se cumple en las muestras obtenidaas, y ello le delata. Dicha version del ELISTARA 33.47 que lo detecta y elimina estará disponible en nuestra web a partir de las 18 h CEST de hoy, si bien se recuerda que ello solo se detecta mientras el malware está en uso, pues una vez terminado su proceso, se autoborra no dejando rastro. Lamentablemente cuando ello es presente el malware ya está actuando, por lo que lo que debe evitarse es ejecutar el fichero o enlace que llegue en todo mail no solicitado. saludos ms, 1-12-2015 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |