variante de Ransom LockScreen (alias GIMEMO) - secuestra display y afecta al MBR

---

Es un ransomware de cuidado que secuestra el acceso a la visualizacion de pantalla y sobreescribe el MBR con lo que el disco duro queda dañado y requiere actuacion a fondo para restablecer su funcionamiento, que en la mayoría de los casos se perderá su contenido.





Lo pasamos a controlar con el ELISTARA 32.87 de hoy, si bien si ya se ha ejecutado, nada podrán hacer las utilidades al efecto, por lo que lo mas importante es evitar su entrada por ejecución del fichero UPDATER.EXE en el que llega el malware.



Afortunadamente Kaspersky lo controla como Ransom.Win32.Gimemo y McAfee heuristicamente, si bien para mayor control,incluso sin estar en Internet (condicion basica para la deteccion heuristica, ademas de estar configurado en tal sentido), se lo hemos enviado para que lo controlen especificamente en proximas versiones





El preanalisis de virustotal ofrece el siguiente informe:





MD5 ec9bc5122cf299e170f0fb8fbc6c9196

SHA1 44b37ac4c7ecb0b797de9723fb9d4f6914b3ad66

File size 191.5 KB ( 196096 bytes )

SHA256: 9a32bde49d7a5a3426ab1623903298727da75fedbcaa536760005e8bcc2b46e8

File name: Updater.exe

Detection ratio: 47 / 57

Analysis date: 2015-09-03 10:00:40 UTC ( 18 minutes ago )



0 1





Antivirus Result Update

ALYac Gen:Variant.Strictor.48210 20150903

AVG ScreenLocker.ANM 20150903

AVware Trojan.Win32.Generic!BT 20150901

Ad-Aware Gen:Variant.Strictor.48210 20150903

Agnitum Trojan.GreenLock.Gen.UO 20150901

AhnLab-V3 Trojan/Win32.Gimemo 20150903

Antiy-AVL Trojan/Win32.Gimemo.bdvq 20150903

Arcabit Trojan.Strictor.DBC52 20150903

Avast Win32:Evo-gen 20150903

Avira TR/Strictor.oiuya 20150903

Baidu-International Trojan.Win32.Ransom.bdvq 20150903

BitDefender Gen:Variant.Strictor.48210 20150903

Bkav W32.Clod4f3.Trojan.05df 20150901

CAT-QuickHeal TrojanRansom.Gimemo.01497 20150903

Cyren W32/A-32df3ff0!Eldorado 20150903

DrWeb Trojan.KillProc.26668 20150903

ESET-NOD32 a variant of Win32/LockScreen.AXZ 20150903

Emsisoft Gen:Variant.Strictor.48210 (B) 20150903

F-Prot W32/A-32df3ff0!Eldorado 20150903

F-Secure Gen:Variant.Strictor.48210 20150903

Fortinet W32/LockScreen.AW!tr 20150903

GData Gen:Variant.Strictor.48210 20150903

Ikarus Trojan-Ransom.Win32.Gimemo 20150903

Jiangmin Trojan/Gimemo.isw 20150902

K7AntiVirus Trojan ( 7000000f1 ) 20150903

K7GW Trojan ( 7000000f1 ) 20150903

Kaspersky Trojan-Ransom.Win32.Gimemo.bdvq 20150903

Kingsoft Win32.Troj.Undef.(kcloud) 20150903

Malwarebytes Trojan.Agent.RNS 20150903

McAfee Artemis!EC9BC5122CF2 20150903

McAfee-GW-Edition GenericR-APN!AED1B033628F 20150903

MicroWorld-eScan Gen:Variant.Strictor.48210 20150903

Microsoft Ransom:Win32/Somhoveran.C 20150903

NANO-Antivirus Trojan.Win32.Gimemo.dpubxw 20150903

Panda Trj/Genetic.gen 20150902

Qihoo-360 Win32/Trojan.69d 20150903

Rising PE:Trojan.Win32.Generic.18E9FC8B!417987723 20150902

SUPERAntiSpyware Trojan.Agent/Gen-Graftor 20150903

Sophos Mal/Generic-S 20150903

Symantec Suspicious.Cloud.9 20150902

Tencent Win32.Trojan.Gimemo.Anfv 20150903

TotalDefense Win32/Tnega.AVPY 20150903

TrendMicro TROJ_GEN.R08JC0DH215 20150903

VBA32 Hoax.Gimemo 20150903

VIPRE Trojan.Win32.Generic!BT 20150903

ViRobot Trojan.Win32.A.Gimemo.196096.AJ 20150903

Zillya Trojan.Gimemo.Win32.8819 20150903





Dicha version del ELISTARA 32.87 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy





MUCHO CUIDADO CON ESTE MALWARE QUE EN LA MONITORIZACION HA DEJADO FUERA DE USO AL DISCO DURO AFECTADO, TRAS EL SIGUIENTE REINICIO...



saludos



ms, 3-9-2015



PD- McAfee nos ha respondido al respecto que ya con los DAT 7812 y motor 5700-7163, se pasa a controlar como TROJAN Generic-APN! AED1B033628F , aun sin detección heurística.