{"id":1173,"date":"2015-02-05T17:50:48","date_gmt":"2015-02-05T16:50:48","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=1173"},"modified":"2015-02-05T17:50:48","modified_gmt":"2015-02-05T16:50:48","slug":"nueva-variante-de-ransomware-que-empaqueta-ficheros-en-rar-cifrados-con-pgp","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2015\/nueva-variante-de-ransomware-que-empaqueta-ficheros-en-rar-cifrados-con-pgp\/","title":{"rendered":"Nueva variante de Ransomware que empaqueta ficheros en RAR cifrados con PGP"},"content":{"rendered":"

Recibimos para analizar y controlar un fichero con extensi\u00f3n CMD el cual llega anexado a un mail y que su ejecuci\u00f3n, tras ofrecer un mensaje de \u00abERROR EN FILE\u00bb, para despistar, empaqueta con password los ficheros de datos de los ordenadores a los cuales tiene acceso el ordenador infectado.<\/p>\n

 <\/p>\n

Adem\u00e1s contiene el fichero RAR.EXE y PGP.EXE normales, sin modificaciones v\u00edricas<\/span><\/p>\n

Tras la monitorizaci<\/span>\u00f3<\/span>n, vemos que el cifrado es con PGP sin posibilidad de desempaquetamiento de dichos ficheros afectados, sin la clave privada, en p<\/span>oder <\/span>del hacker<\/span><\/span><\/p>\n

En cada carpeta donde se han cifrado los ficheros, se crea un archivo de nombre \u201c<\/span>filepas.asc\u00bb <\/span>y con el siguiente contenido:<\/span><\/span><\/p>\n

\n

—–BEGIN PGP MESSAGE—–<\/i><\/span><\/p>\n

Version: 2.6.3i<\/i><\/span><\/p>\n

\n

hIwDUn+DYjooOb0BBACZ28yrRM\/VbuJjfl2ho\/evGNIGE23Nkoaj7oPwl2y6oNrD<\/i><\/span><\/p>\n

bzHM4E2hyqRbBSA5o8B+\/0YoFKgxVghVaqswdcDXBFCyBwa32zni+0+FzOHobFnJ<\/i><\/span><\/p>\n

hCIRG\/YAWwsH\/2b7djFLgvJiVsmDyeE3Dh3ROjbBk6K2cMbFXUH3mpQdbTGsGKYA<\/i><\/span><\/p>\n

AAAx666YgpcTL7nvv2O5GidfWoJqHuDYc\/3CuTAId3O+Bu5tcYsGSiH23Szsdwdt<\/i><\/span><\/p>\n

R3BfVw==<\/i><\/span><\/p>\n

=6gg9<\/i><\/span><\/p>\n

—–END PGP MESSAGE—–<\/i><\/span><\/p>\n

The files are packed in archives with a password.<\/i><\/span><\/p>\n

Unpacked – 300 eur<\/i><\/span><\/p>\n

To unpack the files send two files to email: chuingamshiki@gmail.com<\/i><\/span><\/p>\n

1) file you are reading now<\/i><\/span><\/p>\n

2) one packed file (no more than 1 megabyte)<\/i><\/span><\/p>\n

In response comes the original file and the instruction for bitcoin transfer<\/i><\/span><\/p>\n

(The original file is proof that it is possible to return all files to their original)<\/i><\/span><\/p>\n

After the transfer bitcoin, you will receive your password to archives.<\/i><\/span><\/p>\n

Also coming program to automatically unpack files<\/i><\/span><\/p>\n

Reply to your letter will come within 24 hours.<\/i><\/span><\/p>\n

If no response comes for more than 24 hours write to reserved e-mail: chuingamshiki@mail2tor.com<\/i><\/span><\/p>\n

\n

Del cual se desprende que el hacker pide 300 euros en BITCOIN junto con el <\/span>env\u00edo<\/span> de dos ficheros , el que se est\u00e1 leyendo (y que contiene los datos de la clave publica) y otro empaquetado (Cifrado) de menos de 1 MB, y, a vuelta de correo, se recibir\u00e1 el fichero descifrado (prueba de<\/span>l correcto<\/span> funcionamiento del descifrador) junto con las instrucciones para transferirle los BITCOINS pedidos para el rescate.<\/span><\/span><\/p>\n

Mas o menos, como todos los ransomware<\/span><\/p>\n

\n

Detecci\u00f3n<\/b><\/span><\/span><\/p>\n

McAfee lo controla de momento mediante la exploraci\u00f3n Heuristica (aconsejamos tener la exploraci\u00f3n Heuristica en modo \u201cMuy alto\u201d) a la espera de incluirlo en los DAT p\u00fablicos.<\/span><\/p>\n

Lo pasamos a controlar a partir del ELISTARA 31.59 de hoy como RANSOM CHUING por el fichero que contiene de nombre CHUINGAMSIK<\/span><\/p>\n

Dicha versi\u00f3n del ELISTARA 31.59 que lo detecta y elimina, estar\u00e1 disponible en nuestra web a partir de las 19 h CEST de hoy<\/span><\/p>\n

\n

C\u00f3mo prevenir dichos mails<\/b><\/span><\/span><\/p>\n

El mejor m\u00e9todo <\/span><\/span>para prevenir sobre este tipo de mails <\/span><\/span>es disponer de una soluci\u00f3n perimetral, para que el mail ya no llegue al destinatario. <\/span><\/span><\/span><\/p>\n

Esta soluci\u00f3n deber\u00eda disponer de un buen filtro de Anti-Spam, control de reputaci\u00f3n y para estar m\u00e1s seguros, impedir anexos por extensiones.<\/span><\/span><\/p>\n

Las extensiones <\/span><\/span>a bloquear son del tipo ejecutables, como pueden ser EXE, <\/span><\/span>SCR, PIF, CP<\/span><\/span>L, CMD,<\/span><\/span> etc. <\/span><\/span>y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR<\/span><\/span>, <\/span><\/span>etc., dicha soluci\u00f3n debe ser capaz de examinar dentro de dichos ficheros empaquetados.<\/span><\/span><\/span><\/p>\n

S<\/span><\/span>i no se dispone de una soluci\u00f3n perimetral, el mail llegar\u00e1 al usuario, quedando com<\/span><\/span>o<\/span><\/span> \u00faltima barrera el antivirus <\/span><\/span>instalado <\/span><\/span>en dicho sistema y tambi\u00e9n del buen criterio del usuario al recibir algo no esperado o dudoso.<\/span><\/span><\/span><\/p>\n

Recordamos:<\/span><\/span><\/p>\n