NUEVA FAMILIA DE RANSOMWARES SCARAB QUE DESCARGAN LOS DOWNLOADERS VBS QUE NOS HAN LLEGADO HOY POR MAILmsc hotline sat Thursday, November 23, 2017 Al monitorizar los VBS Downloaders recibidos HOY por mail indicados en noticia anterior, hemos visto que instalaba un ransomware que añade .scarab al final de los ficheros cifrados (que son mas de lo que hacen otros muchos, llegando a cifrar EXE, sin extensión, etc) El preanalisis del fichero que hemos visto que instalaba dicho ransomware, ofrece el siguiente informe: analisis fichero cfff508b.gxe https://www.virustotal.com/es/file/41ca1baf59e457aa07b29f3f7033350d6c3aed3c397aa28128ed05a27e1eb6ac/analysis/1511430151/ y otro similar llegado posteriormente: informe del preanalisis fichero e8806738.gxe https://www.virustotal.com/es/file/7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f/analysis/1511452691/ Y el texto que aparece en las carpetas donde ha cifrado ficheros es el conmtenido en el siguiente fichero: "IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT" All your files have been encrypted due to a security problem with your PC. Now you should send us email with your personal identifier. This email will be as confirmation you are ready to pay for decryption key. You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Contact us using this email address: If you don't get a reply or if the email dies, then contact us using Bitmessage. Download it form here: https://bitmessage.org/wiki/Main_Page Run it, click New Identity and then send us a message at BM-2cTu8prUGDS6XmXqPrZiYXXeqyFw5dXEba Free decryption as guarantee! Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.). -... y mas datos de como obtener los bitcoin y demás Es importante saber que el enlace que lanza dicho ransomware cambia cuando ha terminado de cifrar, redirigiendoe al txt arriba indicado, pero el fichero malware no lo borra, quedando peligrosamente pasivo, por lo que es conveniente eliminarlo para que no sea ejecutado involuntariamente, el cual se consigue detectar y eliminar a partir del ELISTARA 37.94 de hoy, que estará disponible en nuestra web a partir del 24-11 prox NOTA: Los ficheros que estén en carpetas que cuelgan de la de windows no resultan afectados, asi como tampoco los que tienen atributo R (READ ONLY) saludos ms, 23-11-2017 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |