UA-20469404-1
Feb 052015
 

Recibimos para analizar y controlar un fichero con extensión CMD el cual llega anexado a un mail y que su ejecución, tras ofrecer un mensaje de “ERROR EN FILE”, para despistar, empaqueta con password los ficheros de datos de los ordenadores a los cuales tiene acceso el ordenador infectado.

 

Además contiene el fichero RAR.EXE y PGP.EXE normales, sin modificaciones víricas

Tras la monitorización, vemos que el cifrado es con PGP sin posibilidad de desempaquetamiento de dichos ficheros afectados, sin la clave privada, en poder del hacker

En cada carpeta donde se han cifrado los ficheros, se crea un archivo de nombre “filepas.asc” y con el siguiente contenido:

—–BEGIN PGP MESSAGE—–

Version: 2.6.3i

hIwDUn+DYjooOb0BBACZ28yrRM/VbuJjfl2ho/evGNIGE23Nkoaj7oPwl2y6oNrD

bzHM4E2hyqRbBSA5o8B+/0YoFKgxVghVaqswdcDXBFCyBwa32zni+0+FzOHobFnJ

hCIRG/YAWwsH/2b7djFLgvJiVsmDyeE3Dh3ROjbBk6K2cMbFXUH3mpQdbTGsGKYA

AAAx666YgpcTL7nvv2O5GidfWoJqHuDYc/3CuTAId3O+Bu5tcYsGSiH23Szsdwdt

R3BfVw==

=6gg9

—–END PGP MESSAGE—–

The files are packed in archives with a password.

Unpacked – 300 eur

To unpack the files send two files to email: chuingamshiki@gmail.com

1) file you are reading now

2) one packed file (no more than 1 megabyte)

In response comes the original file and the instruction for bitcoin transfer

(The original file is proof that it is possible to return all files to their original)

After the transfer bitcoin, you will receive your password to archives.

Also coming program to automatically unpack files

Reply to your letter will come within 24 hours.

If no response comes for more than 24 hours write to reserved e-mail: chuingamshiki@mail2tor.com

Del cual se desprende que el hacker pide 300 euros en BITCOIN junto con el envío de dos ficheros , el que se está leyendo (y que contiene los datos de la clave publica) y otro empaquetado (Cifrado) de menos de 1 MB, y, a vuelta de correo, se recibirá el fichero descifrado (prueba del correcto funcionamiento del descifrador) junto con las instrucciones para transferirle los BITCOINS pedidos para el rescate.

Mas o menos, como todos los ransomware

Detección

McAfee lo controla de momento mediante la exploración Heuristica (aconsejamos tener la exploración Heuristica en modo “Muy alto”) a la espera de incluirlo en los DAT públicos.

Lo pasamos a controlar a partir del ELISTARA 31.59 de hoy como RANSOM CHUING por el fichero que contiene de nombre CHUINGAMSIK

Dicha versión del ELISTARA 31.59 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Cómo prevenir dichos mails

El mejor método para prevenir sobre este tipo de mails es disponer de una solución perimetral, para que el mail ya no llegue al destinatario.

Esta solución debería disponer de un buen filtro de Anti-Spam, control de reputación y para estar más seguros, impedir anexos por extensiones.

Las extensiones a bloquear son del tipo ejecutables, como pueden ser EXE, SCR, PIF, CPL, CMD, etc. y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR, etc., dicha solución debe ser capaz de examinar dentro de dichos ficheros empaquetados.

Si no se dispone de una solución perimetral, el mail llegará al usuario, quedando como última barrera el antivirus instalado en dicho sistema y también del buen criterio del usuario al recibir algo no esperado o dudoso.

Recordamos:

  • No ejecutar ficheros anexados a mails no solicitados

  • No pulsar sobre los enlaces ni en imágenes de los mismos

  • No rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias

  • Mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos

  • Configurar a nivel MUY ALTO la sensibilidad heuristica del “Analizador en tiempo real” y el “Análisis bajo demanda”

    Nota: para que la detección heuristica de VirusScan funciones, el ordenador debe estar conectado a Internet

Eliminación

Con la versión 31.59 de EliStarA ya se controla y elimina

Para eliminar el virus con VirusScan, es necesario iniciar el sistema en “Modo seguro con funciones de red” y conexión a Internet, lanzar un análisis bajo demanda teniendo configurado el “Nivel de sensibilidad” a “Muy alto” dentro de la pestaña “Rendimiento”. Los ficheros cifrados no se pueden recuperar, deben restaurarse de la copia de seguridad.

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 5 de Febrero de 2015

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies