LLEGAN NUEVAS INCIDENCIAS CON EL RANSOMWARE CRIPTOBIT

---

Si bien ya informamos de las primeras variante de este ransomware en



http://www.satinfo.es/blog/2016/nueva-familia-de-ransomwares-el-criptobit/



donde indicabamos al final las extensiones que cifraba:



ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip



y que no codificaba en ordenadores con teclado configurados con uno de los siguientes códigos: 0x1a7, 0x419 (Russian) o 0x43f (Kazakh)



aparte de que una vez cifrados los ficheros previstos, se autoborra del ordenador, no dejando mas que ficheros de datos y de informacion para el pago del rescate, a saber:







95513088.log: Relación de ficheros cifrados por el ransomware (txt, rtf, xml, xls, doc, docm, pdf, bak, *zip y muchos "tif.txt", (lo que induce a pensar que a las imagenes primero les añade .txt y luego las cifra ???), etc



MUY IMPORTANTE, NO BORRAR DICHO FICHERO, SEGUN INDICAN EN INSTRUCTIONS.MSG, POR SI SE QUIERE SOLICITAR RESCATE





encryption.key231 : Clave publica de cifrado





virus.msg : mensaje al usuario







instructions.msg: instrucciones en las que aparece la direccion de correo del hacker, por lo que vemos que se trata del del ransomware CRIPTOBIT: momsbestfriend @ protonmail . com OR torrenttracker @ india . com



_________





ID:95513088

PC: <ordenador infectado>

USER: <usuario infectado>

=======

Your files are all GONE. I have the program to bring them back.

You will have to pay for the program; there will not be any exceptions, in other words, your stories about baby photos, cancer, HIV, elderly disabled dying relatives will not be accepted.

Use these emails to contact me:

momsbestfriend @ protonmail . com OR torrenttracker @ india . com (remove spaces...)

Alternatively, you can use the anonymous & foolproof Bitmessage app;

download it form here: https://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe

Run it, click New Identity and then shoot me a message at BM-NBEtViRTYNj7GJXEzF3z4VJj7Dqswbgs

Just remember that Bitmessage is sloooow, it takes like 5 minutes to send a message and about 15 minutes to get a reply, so you can click Network Status tab to see what's going on.

P.S. It is highly, highly, highly recommended NOT to delete this LOG file: M:\\95513088.log



_________







Como ya deciamos en la anterior noticia al respecto, este ransomware no funciona en ordenadores configurados en teclado ruso o kazakh, por lo que recordamos otro ransomware que hacia lo mismo (el CRYPTOWALL4) para lo que informabamos de una utilidad de BitDefender que emulaba dicho teclado y evitaba dicho cifrado:



http://www.satinfo.es/blog/2015/vacuna-contra-la-ultima-version-de-cryptowall-4/



Y recordar:



informe contra ransomwares : http://www.satinfo.es/blog/2015/62372/



Esperamos que ello sirva para evitar infectarse con dicho ransowmare o por lo menos minimizar sus efectos





saludos



ms, 2-5-2016