 |
||
RANSOMWARE JIGSAW, ELIMINA FICHEROS HASTA QUE SE PAGUE EL RESCATE, Y AÑADE .FUN A LOS FICHEROS CIFRADOSmsc hotline sat Wednesday, June 29, 2016 Un nuevo ransomware nos ha llegado esta mañana para controlar, y no sólo codifica los ficheros de datos, sino que también los elimina si se toma demasiado tiempo para hacer el pago del rescate. A partir del ELISTARA 34.86 pasamos a controlar esta nueva familia de ransomwares, que si bien nos ha llegado con el nombre MSR145w.exe, tal como lo hemos subido a virustotal, en la monitorización se ha instalado como Firefox.exe, teniendo ambos el mismo contenido. Cuando el ransomware Jigsaw se pone en marcha, escanea sus discos para determinadas extensiones, y procederá al codificado de las mismas mediante el cifrado AES, y anexará la extensión .fun, .KKK, .gws, o,. BTC al nombre de archivo dependiendo de la versión. Los archivos seleccionados por el ransomware Jigsaw son: .jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar El preanalisis de virustotal ofrece el siguiente informe MD5 a9c897ec87315fcc5b26d9f2f43c59b6 SHA1 394c8adb74b3c44efd25b560b79b155fce56ef50 Tamaño del fichero 2.6 MB ( 2768384 bytes ) SHA256: 0832748a5b659a2e5fb23b01910e7b802c7061a97cc5dbafed2df5c4909ef431 Nombre: MSR145w.exe Detecciones: 24 / 53 Fecha de análisis: 2016-06-29 07:54:39 UTC ( hace 2 horas, 42 minutos ) 0 2 Antivirus Resultado Actualización Avast Win32:Malware-gen 20160629 Baidu Win32.Trojan.WisdomEyes.151026.9950.9958 20160629 Kaspersky Trojan.Win32.Agent.newdcc 20160628 Ikarus Trojan-Ransom.JigSaw 20160629 TrendMicro TROJ_FORUCON.BMC 20160629 TrendMicro-HouseCall TROJ_FORUCON.BMC 20160629 Panda Trj/GdSda.A 20160628 Avira (no cloud) TR/Dropper.MSIL.sdaq 20160629 Symantec Suspicious.Cloud.9 20160629 Malwarebytes Ransom.Jigsaw 20160629 AVG Generic37.CDLN 20160628 Emsisoft Generic.MSIL.Ransomware.Jigsaw.6360FD79 (B) 20160629 ALYac Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629 Ad-Aware Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629 Arcabit Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629 BitDefender Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629 F-Secure Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629 GData Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629 eScan Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160629 nProtect Generic.MSIL.Ransomware.Jigsaw.6360FD79 20160628 Sophos Generic PUA DJ (PUA) 20160629 McAfee-GW-Edition BehavesLike.Win32.Trojan.vc 20160629 McAfee Artemis!A9C897EC8731 20160629 ESET-NOD32 a variant of MSIL/Packed.Confuser.J suspicious 20160629 Cada hora, el ransomware Jigsaw eliminará un archivo en su ordenador e incrementa un contador. Con el tiempo este contador hará que se elimine mas de un archivo cada hora. Cada vez que se inicia el ransoware la cantidad de archivos que se eliminan es mayor. Después de la infección inicial, cuando el ransomware se reinicia, ya sea a partir de un reinicio o por terminar el proceso, Jigsaw eliminará mil ficheros del ordenador de la victima. Una vez eliminado el virus con el ELISTARA > 34.86, si no se dispone de copia de seguridad, cabe descargar la utilidad de descifrado de: //download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip Para descifrar los archivos sólo se tiene que seleccionar el directorio y hacer clic en el botón DECRYPT MY FILES. Si desea descifrar toda la unidad, a continuación, se puede seleccionar la unidad C: en sí. Se aconseja no marcar la opción Eliminar archivos cifrados hasta que haya confirmado que la herramienta puede descifrar correctamente sus archivos. Ver mas información original al respecto en Fuente: http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/ saludos ms, 29-6-2016 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|