Como ya indicamos en nuestro blog la información de esta nueva gama de TESLACRYPT 4.2, oculta parte del método de infección, que, tras haber eliminado lo visible y conocido de los TESLACRYPT, puede regenerarse volviendo a aparecer los ficheros informativos que instala en todas las carpetas donde cifra ficheros, incluido el escritorio.
Los ficheros que lo delatan son los siguientes:
!RecoveR!-zxryc++.TXT
!RecoveR!-zxryc++.PNG
!RecoveR!-zxryc++.HTML
En los cuales se pueden ver las instrucciones para el pago del rescate, que en esta versión son mucho mas escuetas y que también se visualizan en el Inicio, mostrando una pantalla similar a:
y que nuestra utilidad ELISTARA ya elimina de la carpeta de INICIO de todos los usuarios y de All Users, dejando los existentes en las carpetas en las que el ransomware haya cifrado archivos para que el usuario sepa donde ha actuado, ya que no cambia ni el nombre del fichero ni la extensión del mismo, y además dichos ficheros son inocuos y por si alguien quiere informarse sobre el pago del rescate, (que no aconsejamos), allí estarán hasta que se borren
Si tras pasar la utilidad ELISTARA, detectar y eliminar todo lo relativo a la infección (se verá la detección y eliminación en el informe creado por dicha utilidad, en C:\infosat.txt), al reiniciar el sistema volviera a aparecer alguna de estas pantallas o ficheros relativos al dichoso TESLACRYPT, antes de restaurar los ficheros de la copia de seguridad, conviene eliminar los posibles restos de los métodos aun desconocidos que puedan usar estas nuevas variantes, por lo que si es el caso, se podrá utilizar nuestro LIVECD que contiene arranque en LINUX (con lo cual se prescinde de la mayoría de posibles trucos que puedan ocultar rootkits y similares, como código malicioso en el MBR, BOOT, claves de registro, ficheros ocultos por ROOTKITS, etc) y tras ello, lanzar una actualización del antivirus para LINUX que contiene dicho LIVECD (pulsando en el botón al efecto) y, con conexión a Internet, lanzar un escaneo bajo demanda con el VIRUSSCAN para LINUX, el cual está configurado con la opción de análisis heurístico activado y así detectar las posibles variantes de este u otros engendros, aun solo detectados heuristicamente, por mas escondidos que estén, como es el caso de esta variante 4.2, según informe del preanalisis de virustotal:
detección actual ransomware TESLACRYPT 4.2 :
McAfee |
Artemis!E562102F07C3 |
20160504 |
Una vez eliminado totalmente el malware en cuestión, se pueden restaurar las copias de seguridad, sin posibilidad de que exista ningún decodificador para ello, por estar cifrados con RSA4096, algoritmo asimétrico de máximo cifrado, que solo el hacker pueden descifrar!
Lamentablemente van “mejorando” los ransomwares, llegando a un punto que solo la educación de los usuarios, haciendo caso a las indicaciones que tantas veces hemos repetido, e instalando siempre las últimas versiones de las aplicaciones que usan, especialmente las de JAVA, Adobe, Navegadores, etc, y siempre con los últimos parches que van apareciendo, así como la activación de la heuristica a nivel MUY ALTO.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 6 de Mayo de 2016