Artículo: NUEVO RANSOMWARE QUE APARTE DE CIFRAR LOS DATOS, PUEDE FASTIDIAR EL SISTEMA WINDOWS SI SE USA XP SIN «PROTEGER».

Aparece publicado en «ZonaVirus».

Transcripción Literal:

Hemos recibido otro malbicho que se presenta por el siguiente contenido en el fichero HOW_TO_DECRYPT_FILES.HTML que aparece en todas las carpetas analizadas:

Texto de HOW_TO_DECRYPT_FILES.HTML:

_______

To decrypt your files, follow instructions

Open your explorer, in the pathbar, enter %appdata%

Find the file encryption_key and send it to email: biggsurprise@tutanota.com or ochennado@tutanota.com

Await payment instructions.

________

Dicho fichero que pide el hacker es el siguiente:

%Datos de Programa%\ encryption_key

que le indica la encriptación usada en la máquina en cuestión.

La extensión añadida a los ficheros que cifra es «CYPHER» y lo grave para los XP es que tambien codifica los ficheros .SYS de todas las unidades mapeadas, fastidiando el sistema de modo que ya no puede volver a arrancar, si bien en Windows 7 y superior respeta los ficheros de %WinDir% y %Archivos de Programa% , evitando la pérdida del reinicio, aunque los cifrados, cifrados quedan !

Para los usuarios que aun usen XP y quieran evitar dicho percance, una PROTECCION puede ser marcar los ficheros de sistema con READ ONLY («R»), al menos los .SYS, a los que hemos visto que afecta especialmente.

Algo parecido hace el ransomware GANDCRAB, al cifrar el contenido de los ficheros de la carpeta %Archivos de Programa%, con lo que se pierde el funcionamiento de los navegadores Chrome y Firefox, aunque el IE sigue funcionando al no precisar los ficheros de datos que cifra.

El preanalisis del fichero que queda residente, aunque cambia de nombre y ubicación en cada instalación, ofrece el siguiente informe:>

https://www.virustotal.com/es/file/ec7746c8a3d0b37f838425ca51ed1b912c9d35d1e8daa0da22b16366d7044719/analysis/1545210123/

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.