A última hora laboral de ayer se descubrió una nueva variante de los temibles ransomwares, que en este caso usa la carpeta "POPADALOVO" dentro de "Archivos de Programa"
A primera vista ya vimos una imagen en ruso que una vez traducido indicada que los archivos habían sido cifrados y que el usuario tenía semana para contactar por mail con el/los hackers a efectos de pagar para poder descifrar los ficheros cifrados.
Igual que otros ransomwares que tambien cifran los ficheros de datos, una vez realizado dicho codificado de ficheros, intenta borrar la huella del malware en el ordenador, aunque un fallo de programacion lo evita:
ping -n 10 localhost>Nul
del /f /q C:\Program Files\popadalovo\*.exe
del /f /q C:\Program Files\popadalovo\*.bat
A efectos de la acción de dicho ransomware podemos decir que sin conexion a internet no realiza la acción en cuestión, pero en cuanto tiene acceso a la Red, codifica los ficheros de datos, envia al hacker los originales, borrándolos del ordenador afectado, y en su lugar deja otros modificando su contenido y añadiendo a su nombre una coletilla identificadora, por ejemplo en un .DOC y un .XLS los ha cambiado asi:
original: hola.doc
NOMBRE FINAL : hola.doc.id-{SCKRCJRYGNVDJRZGNUDKSYGOVCJQYGMUBJQX-04@09@2014 19@23@006438683}-email-load180@aol.com-ver-4.0.0.0.cbf
original: libro1.xls
NOMBRE FINAL: Libro1.xls.id-{SCKRCJRYGNVDJRZGNUDKSYGOVCJQYGMUBJQX-04@09@2014 19@23@006438683}-email-load180@aol.com-ver-4.0.0.0.cbf
Cuando ya tiene conexión, realiza la acción prevista y entre ellas visualiza la imagen del rescate, dejandola como fondo de pantalla.
Con el ElistarA de hoy, 30.54, mejoramos el de ayer, eliminando la carga de dicha pantalla en los próximos reinicios, para dejar al usuario acceso al escritorio normal.
Recordamos que el mensaje en cuestión rezaba así:
http://www.satinfo.es/blog/wp-content/uploads/2014/09/filecoder.jpg
Cabe indicar que en el informe del preanalisis de ayer del virustotal, ofrecia 16 detecciones:
SHA256: daaa2080806a9aa60f5b34d216008f563a5b8f1e0280ee5a8242ee3e288ab414
Nombre: 001e5f66.exe.vir
Detecciones: 16 / 55
Fecha de análisis: 2014-09-04 15:47:28 UTC ( hace 16 horas, 46 minutos )
Actualmente ningun usuario ha subido nueva muestra a dicho servicio, pero ya son 24 los antivirus que lo controlan, (8 mas que ayer) a lo cual sin duda ha contribuido el envio de la muestra vírica a traves de virustotal![:)]( "Smile")
El preanalisis actual ofrece el siguiente informe:
MD5 f13de32bd797d37585860968b8959ed6
SHA1 982d4512571667789df33cee965af591071b8de2
Tamaño del fichero 802.5 KB ( 821760 bytes )
SHA256: daaa2080806a9aa60f5b34d216008f563a5b8f1e0280ee5a8242ee3e288ab414
Nombre: 001e5f66.exe.vir
Detecciones: 24 / 55
Fecha de análisis: 2014-09-05 08:35:49 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
AVG FileCryptor.FP 20140905
AVware Trojan.Win32.Generic.pak!cobra 20140905
Ad-Aware Gen:Variant.Zusy.12582 20140905
Avast Win32:Malware-gen 20140905
Avira TR/Criakl.A.4 20140905
Baidu-International Trojan.Win32.Ransom.aeq 20140905
BitDefender Gen:Variant.Zusy.12582 20140905
Comodo UnclassifiedMalware 20140905
DrWeb Trojan.Encoder.567 20140905
ESET-NOD32 a variant of Win32/Filecoder.CQ 20140905
Emsisoft Gen:Variant.Zusy.12582 (B) 20140905
F-Secure Gen:Variant.Zusy.12582 20140905
Fortinet W32/Cryakl.AN!tr 20140905
GData Gen:Variant.Zusy.12582 20140905
Kaspersky Trojan-Ransom.Win32.Cryakl.an 20140905
McAfee Artemis!F13DE32BD797 20140905
McAfee-GW-Edition BehavesLike.Win32.Backdoor.cm 20140904
MicroWorld-eScan Gen:Variant.Zusy.12582 20140905
Microsoft Ransom:Win32/Criakl.A 20140905
NANO-Antivirus Trojan.Win32.Encoder.dditgx 20140905
Norman Troj_Generic.VQECQ 20140905
Qihoo-360 Win32/Trojan.0c1 20140905
Sophos Mal/Generic-S 20140905
VIPRE Trojan.Win32.Generic.pak!cobra 20140905
A partir de las 15 h CEST de hoy subiremos a nuestra web la nueva versión del ElistarA 30.54 con las mejoras correspondientes al respecto.
RECORDAMOS LA CONVENIENCIA DE CONFIGURAR A NIVEL ALTO LA HEURISTICA AVANZADA DEL VirusScan DE McAfee, y utilizar sistema operativos actuales que permitan recuperar, cuando es posible, ficheros secuestrados gracias al Shadow Copy.
saludos
ms, 5-9-2014
A primera vista ya vimos una imagen en ruso que una vez traducido indicada que los archivos habían sido cifrados y que el usuario tenía semana para contactar por mail con el/los hackers a efectos de pagar para poder descifrar los ficheros cifrados.
Igual que otros ransomwares que tambien cifran los ficheros de datos, una vez realizado dicho codificado de ficheros, intenta borrar la huella del malware en el ordenador, aunque un fallo de programacion lo evita:
ping -n 10 localhost>Nul
del /f /q C:\Program Files\popadalovo\*.exe
del /f /q C:\Program Files\popadalovo\*.bat
A efectos de la acción de dicho ransomware podemos decir que sin conexion a internet no realiza la acción en cuestión, pero en cuanto tiene acceso a la Red, codifica los ficheros de datos, envia al hacker los originales, borrándolos del ordenador afectado, y en su lugar deja otros modificando su contenido y añadiendo a su nombre una coletilla identificadora, por ejemplo en un .DOC y un .XLS los ha cambiado asi:
original: hola.doc
NOMBRE FINAL : hola.doc.id-{SCKRCJRYGNVDJRZGNUDKSYGOVCJQYGMUBJQX-04@09@2014 19@23@006438683}-email-load180@aol.com-ver-4.0.0.0.cbf
original: libro1.xls
NOMBRE FINAL: Libro1.xls.id-{SCKRCJRYGNVDJRZGNUDKSYGOVCJQYGMUBJQX-04@09@2014 19@23@006438683}-email-load180@aol.com-ver-4.0.0.0.cbf
Cuando ya tiene conexión, realiza la acción prevista y entre ellas visualiza la imagen del rescate, dejandola como fondo de pantalla.
Con el ElistarA de hoy, 30.54, mejoramos el de ayer, eliminando la carga de dicha pantalla en los próximos reinicios, para dejar al usuario acceso al escritorio normal.
Recordamos que el mensaje en cuestión rezaba así:
http://www.satinfo.es/blog/wp-content/uploads/2014/09/filecoder.jpg
Cabe indicar que en el informe del preanalisis de ayer del virustotal, ofrecia 16 detecciones:
SHA256: daaa2080806a9aa60f5b34d216008f563a5b8f1e0280ee5a8242ee3e288ab414
Nombre: 001e5f66.exe.vir
Detecciones: 16 / 55
Fecha de análisis: 2014-09-04 15:47:28 UTC ( hace 16 horas, 46 minutos )
Actualmente ningun usuario ha subido nueva muestra a dicho servicio, pero ya son 24 los antivirus que lo controlan, (8 mas que ayer) a lo cual sin duda ha contribuido el envio de la muestra vírica a traves de virustotal
El preanalisis actual ofrece el siguiente informe:
MD5 f13de32bd797d37585860968b8959ed6
SHA1 982d4512571667789df33cee965af591071b8de2
Tamaño del fichero 802.5 KB ( 821760 bytes )
SHA256: daaa2080806a9aa60f5b34d216008f563a5b8f1e0280ee5a8242ee3e288ab414
Nombre: 001e5f66.exe.vir
Detecciones: 24 / 55
Fecha de análisis: 2014-09-05 08:35:49 UTC ( hace 1 minuto )
0 1
Antivirus Resultado Actualización
AVG FileCryptor.FP 20140905
AVware Trojan.Win32.Generic.pak!cobra 20140905
Ad-Aware Gen:Variant.Zusy.12582 20140905
Avast Win32:Malware-gen 20140905
Avira TR/Criakl.A.4 20140905
Baidu-International Trojan.Win32.Ransom.aeq 20140905
BitDefender Gen:Variant.Zusy.12582 20140905
Comodo UnclassifiedMalware 20140905
DrWeb Trojan.Encoder.567 20140905
ESET-NOD32 a variant of Win32/Filecoder.CQ 20140905
Emsisoft Gen:Variant.Zusy.12582 (B) 20140905
F-Secure Gen:Variant.Zusy.12582 20140905
Fortinet W32/Cryakl.AN!tr 20140905
GData Gen:Variant.Zusy.12582 20140905
Kaspersky Trojan-Ransom.Win32.Cryakl.an 20140905
McAfee Artemis!F13DE32BD797 20140905
McAfee-GW-Edition BehavesLike.Win32.Backdoor.cm 20140904
MicroWorld-eScan Gen:Variant.Zusy.12582 20140905
Microsoft Ransom:Win32/Criakl.A 20140905
NANO-Antivirus Trojan.Win32.Encoder.dditgx 20140905
Norman Troj_Generic.VQECQ 20140905
Qihoo-360 Win32/Trojan.0c1 20140905
Sophos Mal/Generic-S 20140905
VIPRE Trojan.Win32.Generic.pak!cobra 20140905
A partir de las 15 h CEST de hoy subiremos a nuestra web la nueva versión del ElistarA 30.54 con las mejoras correspondientes al respecto.
RECORDAMOS LA CONVENIENCIA DE CONFIGURAR A NIVEL ALTO LA HEURISTICA AVANZADA DEL VirusScan DE McAfee, y utilizar sistema operativos actuales que permitan recuperar, cuando es posible, ficheros secuestrados gracias al Shadow Copy.
saludos
ms, 5-9-2014