 |
||
LA NUEVA VARIANTE 4.2 DEL TESLACRYPT PUEDE OCULTAR SU SISTEMA DE INFECCION/REGENERACIONmsc hotline sat Wednesday, May 4, 2016 Como ya indicamos en la información de esta nueva gama de TESLACRYPT 4.2, oculta parte del método de infección, que, tras haber eliminado lo visible y conocido de los TESLACRYPT, puede regenerarse volviendo a aparecer los ficheros informativos que instala en todas las carpetas donde cifra ficheros, incluido el escritorio. Los ficheros que lo delatan son los siguientes: !RecoveR!-zxryc++.TXT !RecoveR!-zxryc++.PNG !RecoveR!-zxryc++.HTML En los cuales se pueden ver las instrucciones para el pago del rescate, que en esta versión son mucho mas escuetas y que también se visualizan en el Inicio, mostrando una pantalla similar a: 
que el ELISTARA ya elimina de la carpeta de INICIO de todos los usuarios y de ALLUSERS, dejando los existentes en las carpetas en las que el ransomware haya cifrado archivos para que el usuario sepa donde ha actuado, ya que no cambia en los cifrados ni el nombre del fichero ni extensión del mismo, y además dichos ficheros son inocuos, y si alguien quiere informarse sobre el pago del rescate, (que no aconsejamos), alli estarán hasta que se borren, lo cual es muy simple hacerlo hastando con un DEL de MSDOS (a traves de Inicio-> Ejecutar-> CMD.EXE) DEL C:\*RecoveR*.* /s /a si bien con ello se eliminarán todos los ficheros que contengan la palabra RECOVER de todo el disco duro, por lo que antes debe asegurarse que no se tenga ninguna copia de seguridad ni algun fichero particular al respecto Si tras pasar el ELISTARA y detectar y eliminar todo lo relativo a la infección (se verá la detección y eliminación en el informe creado por dicha utilidad, en C:\infosat.txt), al reiniciar volviera a aparecer alguna de estas pantallas o ficheros relativos al dichoso TESLACRYPT, antes de restaurar la copia de seguridad, conviene eliminar los posibles restos de los métodos aun desconocidos que puedan usar estas nuevas variantes, por lo que si es el caso, se podrá utilizar nuestro LIVECD que contiene arranque en LINUX (con lo cual se prescinde de la mayoría de posibles trucos que puedan ocultar rootkits y similares, como código malicioso en el MBR, BOOT, claves de registro, ficheros ocultos por ROOTKITS, etc) y tras ello, lanzar una actualización del antivirus para LINUX que contiene dicho LIVECD (pulsando en el botón al efecto) y, con conexión a Internet, lanzar un escaneo bajo demanda con el VIRUSSCAN para LINUX que ya está configurado con nivel heurístico MUY ALTO, y asi detectar las posibles variantes de este u otros engendros, aun solo detectados heuristicamente, por mas escondidos que estén, como es el caso de esta variante 4.2, segun informe del preanalisis de virustotal: detección actual ransomware TESLACRYPT 4.2 : McAfee Artemis!E562102F07C3 20160504 Una vez eliminado totalmente el malware en cuestión, se pueden restaurar las copias de seguridad, sin posibilidad de que exista ningun decodificador para ello, por estar cifrados con RSA4096, algoritmo asimétrico de máximo cifrado, que solo Dios y el hacker pueden descifrar! Lamentablemente van "mejorando" los ransomwares, llegando a un punto que solo la educación de los usuarios , haciendo caso a las indicaciones que tantas veces hemos repetido, e instalando siempre las últimas versiones de las aplicaciones que usan, especialmente las de JAVA, Adobe, Navegadores, etc, y siempre instalando los parches que van apareciendo, asi como activando la heuristica a nivel MUY ALTO, podrá seguirse utilizando Internet... Si desean cualquier aclaración al respecto, rogamos nos lo indiquen. saludos ms, 4-5-2016 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|