Aparece publicado en «ZonaVirus».
Transcripción Literal:
Hemos recibido otro malbicho que se presenta por el siguiente contenido en el fichero HOW_TO_DECRYPT_FILES.HTML que aparece en todas las carpetas analizadas:
Texto de HOW_TO_DECRYPT_FILES.HTML:
_______
To decrypt your files, follow instructions
Open your explorer, in the pathbar, enter %appdata%
Find the file encryption_key and send it to email: biggsurprise@tutanota.com or ochennado@tutanota.com
Await payment instructions.
________
Dicho fichero que pide el hacker es el siguiente:
%Datos de Programa%\ encryption_key
que le indica la encriptación usada en la máquina en cuestión.
La extensión añadida a los ficheros que cifra es «CYPHER» y lo grave para los XP es que tambien codifica los ficheros .SYS de todas las unidades mapeadas, fastidiando el sistema de modo que ya no puede volver a arrancar, si bien en Windows 7 y superior respeta los ficheros de %WinDir% y %Archivos de Programa% , evitando la pérdida del reinicio, aunque los cifrados, cifrados quedan !
Para los usuarios que aun usen XP y quieran evitar dicho percance, una PROTECCION puede ser marcar los ficheros de sistema con READ ONLY («R»), al menos los .SYS, a los que hemos visto que afecta especialmente.
Algo parecido hace el ransomware GANDCRAB, al cifrar el contenido de los ficheros de la carpeta %Archivos de Programa%, con lo que se pierde el funcionamiento de los navegadores Chrome y Firefox, aunque el IE sigue funcionando al no precisar los ficheros de datos que cifra.
El preanalisis del fichero que queda residente, aunque cambia de nombre y ubicación en cada instalación, ofrece el siguiente informe:>
Latest posts by Jose Miguel (see all)
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
- Curso Básico de Ciberseguridad. Módulo 2 - 23 noviembre, 2024
- Episodio 6: Implementar la seguridad en conexiones remotas. - 22 noviembre, 2024