Una nueva familia de ransomwares (pago por rescate) que esta mañana ha cifrado los ficheros de datos, imagenes y videos, se presenta con esta imagen:
http://1.bp.blogspot.com/-s_RwBI0lFqQ/UsWUjd8v_wI/AAAAAAAAGQ0/Vk-avec0iIM/s1600/HOWDECRYPT.gif
Al parecer se basa igual que el Cryptolocker en cifrado asimetrico con dos claves, una publica que queda en el ordenador afectado y otra privado que se envia al servidor del hacker.
Segun indica en la imagen, pasados 10 días, el servidor del hacker borra dicha clave privada, con lo que se pierde la posibilidad de recuperacion.
Recordemos que en el caso del CRYPTOLOCKER eran solo 3 los dias que el hacker guardaba la informacion privada, y que el importe del rescate era muy superior, pero igualmente recomendamos mantener las copias de seguridad al día y seguir los consejos de NO EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS, COMO TAMPOCO PULSAR EN ENLACES Y EN SUS IMAGENES.
Es importante tener en cuenta que la eliminación del ransomware CRYPTORBIT puede requerir pasos adicionales porque el HOWDECRYPT desactiva el software de seguridad . En varias situaciones, puede ser absolutamente necesario utilizar métodos de puesta en marcha alternativas para prevenir la carga automática en el arranque. También puede ser necesario el uso de métodos manuales para restaurar los archivos a la normalidad. Es importante tener en cuenta que el pago del rescate HOWDECRYPT ransomware a los criminales responsables de este ransomware , les permite continuar desarrollando y distribuyendo mas ransomwares y amenazas similares, por lo que disponer de copias de seguridad de los datos es imprescindible para no tener que caer en la tentación...
De esta nueva variante podemos mostrar el informa de virustotal , con lo que poder detectarlo y aparcarlo con nuestro EliMD5.EXE (indicando el MD5 de dicho informe):
7d0e4b39930272cecf5ab82e9b05b41c
entrar dicho codigo cuando lo pida la ejecucion del EliMD5.EXE
DESCARGA DEL EliMD5:
http://www.zonavirus.com/descargas/elimd5.asp
El informe en cuestion es:
MD5 7d0e4b39930272cecf5ab82e9b05b41c
SHA1 08c13d1e9c67aa5683b401168bd28ca228b72c14
File size 316.0 KB ( 323584 bytes )
SHA256: 7303d7bd2c0440a30fc7f2c713c1eff728f3bc210f3eb6841cf290108aac9636
Nombre: 7d0e4b39930272cecf5ab82e9b05b41c.exe
Detecciones: 40 / 50
Fecha de análisis: 2014-01-29 06:41:29 UTC ( hace 9 horas, 21 minutos )
0 3
?Información de comportamiento Antivirus Resultado Actualización
AVG Zbot.EVJ 20140128
Ad-Aware Gen:Variant.Symmi.37798 20140129
AhnLab-V3 Spyware/Win32.Zbot 20140128
AntiVir TR/Dldr.Agent.hboro 20140129
Antiy-AVL Trojan/Win32.Sharik 20140128
Avast Win32:Zbot-SIS 20140129
Baidu-International Trojan.Win32.Generic.Axkm 20140128
BitDefender Gen:Variant.Symmi.37798 20140129
CAT-QuickHeal Trojan.Malagent.a 20140129
Comodo TrojWare.Win32.Injector.AUW 20140129
DrWeb Trojan.DownLoader9.22851 20140129
ESET-NOD32 a variant of Win32/Kryptik.BSNH 20140129
Emsisoft Gen:Variant.Symmi.37798 (B) 20140129
F-Secure Gen:Variant.Symmi.37798 20140129
Fortinet W32/Generic.LGJ!tr 20140129
GData Gen:Variant.Symmi.37798 20140129
Ikarus Trojan-Downloader.Win32.Upatre 20140129
Jiangmin Backdoor/Androm.dxm 20140129
K7AntiVirus Trojan ( 00492ff21 ) 20140128
K7GW Trojan ( 00492ff21 ) 20140128
Kaspersky Trojan.Win32.Sharik.rhh 20140129
Malwarebytes Trojan.FakeBankDoc 20140129
McAfee RDN/Generic.bfr!fr 20140129
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.B 20140129
MicroWorld-eScan Gen:Variant.Symmi.37798 20140129
Microsoft Trojan:Win32/Malagent 20140129
NANO-Antivirus Trojan.Win32.FrauDrop.csnqtu 20140128
Norman Fareit.HA 20140129
Panda Trj/Genetic.gen 20140128
Qihoo-360 Win32/Trojan.BO.ebf 20140122
Rising PE:Trojan.Win32.Generic.165A1EC7!375004871 20140128
SUPERAntiSpyware Trojan.Agent/Gen-Malagent 20140129
Sophos Troj/DwnLdr-LGJ 20140129
Symantec Trojan.Cryptolocker.C 20140129
TheHacker Trojan/Kryptik.bsnh 20140128
TrendMicro TROJ_GEN.R0CBC0DAO14 20140129
TrendMicro-HouseCall TROJ_GEN.R0CBC0DAO14 20140129
VBA32 TrojanDropper.FrauDrop.acqdt 20140128
VIPRE Trojan.Win32.Fareit.if (v) 20140129
ViRobot Dropper.Agent.102400.R 20140129
Si se localizan muestras de dicho especimen, aparte de aparcarlas, enviarnoslas para analizar y controlar en las proximas versiones del ElistarA, a virus@satinfo.es
saludos
ms, 29-1-2014
NOTA: Informacion al respecto recibida cortesmente de un usuario afectado por dicho virus, en su caso los documentos cifrados de word
pueden ser vistos con el wordpad, viendo el texto y con ello poder recuperar la informacion, mientras que no se puede con Word. Para quien pueda interesar. ms.
http://1.bp.blogspot.com/-s_RwBI0lFqQ/UsWUjd8v_wI/AAAAAAAAGQ0/Vk-avec0iIM/s1600/HOWDECRYPT.gif
Al parecer se basa igual que el Cryptolocker en cifrado asimetrico con dos claves, una publica que queda en el ordenador afectado y otra privado que se envia al servidor del hacker.
Segun indica en la imagen, pasados 10 días, el servidor del hacker borra dicha clave privada, con lo que se pierde la posibilidad de recuperacion.
Recordemos que en el caso del CRYPTOLOCKER eran solo 3 los dias que el hacker guardaba la informacion privada, y que el importe del rescate era muy superior, pero igualmente recomendamos mantener las copias de seguridad al día y seguir los consejos de NO EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS, COMO TAMPOCO PULSAR EN ENLACES Y EN SUS IMAGENES.
Es importante tener en cuenta que la eliminación del ransomware CRYPTORBIT puede requerir pasos adicionales porque el HOWDECRYPT desactiva el software de seguridad . En varias situaciones, puede ser absolutamente necesario utilizar métodos de puesta en marcha alternativas para prevenir la carga automática en el arranque. También puede ser necesario el uso de métodos manuales para restaurar los archivos a la normalidad. Es importante tener en cuenta que el pago del rescate HOWDECRYPT ransomware a los criminales responsables de este ransomware , les permite continuar desarrollando y distribuyendo mas ransomwares y amenazas similares, por lo que disponer de copias de seguridad de los datos es imprescindible para no tener que caer en la tentación...
De esta nueva variante podemos mostrar el informa de virustotal , con lo que poder detectarlo y aparcarlo con nuestro EliMD5.EXE (indicando el MD5 de dicho informe):
7d0e4b39930272cecf5ab82e9b05b41c
entrar dicho codigo cuando lo pida la ejecucion del EliMD5.EXE
DESCARGA DEL EliMD5:
http://www.zonavirus.com/descargas/elimd5.asp
El informe en cuestion es:
MD5 7d0e4b39930272cecf5ab82e9b05b41c
SHA1 08c13d1e9c67aa5683b401168bd28ca228b72c14
File size 316.0 KB ( 323584 bytes )
SHA256: 7303d7bd2c0440a30fc7f2c713c1eff728f3bc210f3eb6841cf290108aac9636
Nombre: 7d0e4b39930272cecf5ab82e9b05b41c.exe
Detecciones: 40 / 50
Fecha de análisis: 2014-01-29 06:41:29 UTC ( hace 9 horas, 21 minutos )
0 3
?Información de comportamiento Antivirus Resultado Actualización
AVG Zbot.EVJ 20140128
Ad-Aware Gen:Variant.Symmi.37798 20140129
AhnLab-V3 Spyware/Win32.Zbot 20140128
AntiVir TR/Dldr.Agent.hboro 20140129
Antiy-AVL Trojan/Win32.Sharik 20140128
Avast Win32:Zbot-SIS 20140129
Baidu-International Trojan.Win32.Generic.Axkm 20140128
BitDefender Gen:Variant.Symmi.37798 20140129
CAT-QuickHeal Trojan.Malagent.a 20140129
Comodo TrojWare.Win32.Injector.AUW 20140129
DrWeb Trojan.DownLoader9.22851 20140129
ESET-NOD32 a variant of Win32/Kryptik.BSNH 20140129
Emsisoft Gen:Variant.Symmi.37798 (B) 20140129
F-Secure Gen:Variant.Symmi.37798 20140129
Fortinet W32/Generic.LGJ!tr 20140129
GData Gen:Variant.Symmi.37798 20140129
Ikarus Trojan-Downloader.Win32.Upatre 20140129
Jiangmin Backdoor/Androm.dxm 20140129
K7AntiVirus Trojan ( 00492ff21 ) 20140128
K7GW Trojan ( 00492ff21 ) 20140128
Kaspersky Trojan.Win32.Sharik.rhh 20140129
Malwarebytes Trojan.FakeBankDoc 20140129
McAfee RDN/Generic.bfr!fr 20140129
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.B 20140129
MicroWorld-eScan Gen:Variant.Symmi.37798 20140129
Microsoft Trojan:Win32/Malagent 20140129
NANO-Antivirus Trojan.Win32.FrauDrop.csnqtu 20140128
Norman Fareit.HA 20140129
Panda Trj/Genetic.gen 20140128
Qihoo-360 Win32/Trojan.BO.ebf 20140122
Rising PE:Trojan.Win32.Generic.165A1EC7!375004871 20140128
SUPERAntiSpyware Trojan.Agent/Gen-Malagent 20140129
Sophos Troj/DwnLdr-LGJ 20140129
Symantec Trojan.Cryptolocker.C 20140129
TheHacker Trojan/Kryptik.bsnh 20140128
TrendMicro TROJ_GEN.R0CBC0DAO14 20140129
TrendMicro-HouseCall TROJ_GEN.R0CBC0DAO14 20140129
VBA32 TrojanDropper.FrauDrop.acqdt 20140128
VIPRE Trojan.Win32.Fareit.if (v) 20140129
ViRobot Dropper.Agent.102400.R 20140129
Si se localizan muestras de dicho especimen, aparte de aparcarlas, enviarnoslas para analizar y controlar en las proximas versiones del ElistarA, a virus@satinfo.es
saludos
ms, 29-1-2014
NOTA: Informacion al respecto recibida cortesmente de un usuario afectado por dicho virus, en su caso los documentos cifrados de word
pueden ser vistos con el wordpad, viendo el texto y con ello poder recuperar la informacion, mientras que no se puede con Word. Para quien pueda interesar. ms.