Recibimos para analizar y controlar un fichero con extensión CMD el cual llega anexado a un mail y que su ejecución, tras ofrecer un mensaje de “ERROR EN FILE”, para despistar, empaqueta con password los ficheros de datos de los ordenadores a los cuales tiene acceso el ordenador infectado.
Además contiene el fichero RAR.EXE y PGP.EXE normales, sin modificaciones víricas
Tras la monitorización, vemos que el cifrado es con PGP sin posibilidad de desempaquetamiento de dichos ficheros afectados, sin la clave privada, en poder del hacker
En cada carpeta donde se han cifrado los ficheros, se crea un archivo de nombre “filepas.asc” y con el siguiente contenido:
—–BEGIN PGP MESSAGE—–
Version: 2.6.3i
hIwDUn+DYjooOb0BBACZ28yrRM/VbuJjfl2ho/evGNIGE23Nkoaj7oPwl2y6oNrD
bzHM4E2hyqRbBSA5o8B+/0YoFKgxVghVaqswdcDXBFCyBwa32zni+0+FzOHobFnJ
hCIRG/YAWwsH/2b7djFLgvJiVsmDyeE3Dh3ROjbBk6K2cMbFXUH3mpQdbTGsGKYA
AAAx666YgpcTL7nvv2O5GidfWoJqHuDYc/3CuTAId3O+Bu5tcYsGSiH23Szsdwdt
R3BfVw==
=6gg9
—–END PGP MESSAGE—–
The files are packed in archives with a password.
Unpacked – 300 eur
To unpack the files send two files to email: chuingamshiki@gmail.com
1) file you are reading now
2) one packed file (no more than 1 megabyte)
In response comes the original file and the instruction for bitcoin transfer
(The original file is proof that it is possible to return all files to their original)
After the transfer bitcoin, you will receive your password to archives.
Also coming program to automatically unpack files
Reply to your letter will come within 24 hours.
If no response comes for more than 24 hours write to reserved e-mail: chuingamshiki@mail2tor.com
Del cual se desprende que el hacker pide 300 euros en BITCOIN junto con el envío de dos ficheros , el que se está leyendo (y que contiene los datos de la clave publica) y otro empaquetado (Cifrado) de menos de 1 MB, y, a vuelta de correo, se recibirá el fichero descifrado (prueba del correcto funcionamiento del descifrador) junto con las instrucciones para transferirle los BITCOINS pedidos para el rescate.
Mas o menos, como todos los ransomware
Detección
McAfee lo controla de momento mediante la exploración Heuristica (aconsejamos tener la exploración Heuristica en modo “Muy alto”) a la espera de incluirlo en los DAT públicos.
Lo pasamos a controlar a partir del ELISTARA 31.59 de hoy como RANSOM CHUING por el fichero que contiene de nombre CHUINGAMSIK
Dicha versión del ELISTARA 31.59 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
Cómo prevenir dichos mails
El mejor método para prevenir sobre este tipo de mails es disponer de una solución perimetral, para que el mail ya no llegue al destinatario.
Esta solución debería disponer de un buen filtro de Anti-Spam, control de reputación y para estar más seguros, impedir anexos por extensiones.
Las extensiones a bloquear son del tipo ejecutables, como pueden ser EXE, SCR, PIF, CPL, CMD, etc. y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR, etc., dicha solución debe ser capaz de examinar dentro de dichos ficheros empaquetados.
Si no se dispone de una solución perimetral, el mail llegará al usuario, quedando como última barrera el antivirus instalado en dicho sistema y también del buen criterio del usuario al recibir algo no esperado o dudoso.
Recordamos:
-
No ejecutar ficheros anexados a mails no solicitados
-
No pulsar sobre los enlaces ni en imágenes de los mismos
-
No rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias
-
Mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos
-
Configurar a nivel MUY ALTO la sensibilidad heuristica del “Analizador en tiempo real” y el “Análisis bajo demanda”
Nota: para que la detección heuristica de VirusScan funciones, el ordenador debe estar conectado a Internet
Eliminación
Con la versión 31.59 de EliStarA ya se controla y elimina
Para eliminar el virus con VirusScan, es necesario iniciar el sistema en “Modo seguro con funciones de red” y conexión a Internet, lanzar un análisis bajo demanda teniendo configurado el “Nivel de sensibilidad” a “Muy alto” dentro de la pestaña “Rendimiento”. Los ficheros cifrados no se pueden recuperar, deben restaurarse de la copia de seguridad.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 5 de Febrero de 2015