• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    El ransomware Locky cambia su extensión a THOR después de haber sido un mal malware

    El ransomware Locky cambia su extensión a THOR después de haber sido un malware boca sucia Nuevas variantes de Locky están siendo liberados a un ritmo muy rápido últimamente. Ayer, tuvimos una nueva variante que ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      El ransomware Locky cambia su extensión a THOR después de haber sido un mal malware

      El ransomware Locky cambia su extensión a THOR después de haber sido un malware boca sucia


      Nuevas variantes de Locky están siendo liberados a un ritmo muy rápido últimamente. Ayer, tuvimos una nueva variante que añade la extensión .sh * T a los archivos cifrados y hoy pasaron a usar la extensión .THOR. ¿Tal vez porque Locky se lavo la boca por soltar semejante maldición? Independientemente de las razones del cambio, estoy feliz porque ya no tendré que leer mensajes con malas palabras a todo lo largo de los foros.


      La variante Thor de Locky siendo distribuido a través de Campañas spam.

      Esta nueva variante actualmente está siendo distribuido a través de una variedad de campañas spam VBS, JS, y otros accesorios. Una campaña spam que he visto tiene una línea de asunto o encabezado llamado pronóstico del Presupuesto y contiene un archivo comprimido llamado budget_xls_ [random_chars] .zip.


      Este archivo zip budget_xls contiene un script VBS con un nombre como xls.vbs A32aD85 presupuesto como se muestra a continuación.



      Locky continúa utilizando un instalador DLL

      Cuando se ejecutan los archivos adjuntos Locky SPAM, se descarga un archivo DLL de cifrado en el ordenador de la víctima, y ​​luego se ejecutará utilizando Rundll32.exe para cifrar los archivos de la víctima.


      Las DLL actualmente se están ejecutando con los siguientes argumentos:
      C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147
      Una vez ejecutada la aplicación buscará tipos de archivos específicos y realizará la encriptación con un nombre codificado con extension .thor. Por ejemplo, un archivo llamado accounting.xlsx podría ser renombrado a 024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor. El formato de este esquema es: first_8_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [4_hexadecimal_chars] - [12_hexadecimal_chars .thor].

      No es posible descifrar la variante Thor del ransomware Locky

      Por desgracia, aún no existe una manera para descifrar el ransomware Locky independientemente de la extensión.
      En este momento la única manera de recuperar los archivos cifrados es a través de una copia de seguridad, o si usted a tenido una suerte increíble, a través de las instantáneas de volumen. Aunque Locky no intente quitar las instantáneas de volumen, en casos raros, las infecciones ransomware no lo hacen por alguna razón. Debido a esto, si usted no tiene una copia de seguridad viable, siempre se le sugerirá a las victimas como último recurso restaurar los archivos cifrados desde las instantáneas del volumen.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de pochy
      Registrado
      nov 2005
      Ubicación
      argentina
      Mensajes
      3

      Re: El ransomware Locky cambia su extensión a THOR después de haber sido un mal malwa

      Gracias.. hay que esperar