• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Locky Ransomware ahora utiliza la extensión "Aesir" y "ZZZZZ" para archivos cifrados

    Locky Ransomware ahora utiliza la extensión "Aesir" y "ZZZZZ" para archivos cifrados El investigador de seguridad Derek Knight descubrió una nueva campaña del ransomware Locky en correos electrónicos que pretenden ser una denuncia del ISP ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Locky Ransomware ahora utiliza la extensión "Aesir" y "ZZZZZ" para archivos cifrados

      Locky Ransomware ahora utiliza la extensión "Aesir" y "ZZZZZ" para archivos cifrados


      El investigador de seguridad Derek Knight descubrió una nueva campaña del ransomware Locky en correos electrónicos que pretenden ser una denuncia del ISP que indica que se ha detectado Spam que viene desde su computadora. Después de probar la instalación de Locky de esta nueva campaña, MalwareHunterTeam descubrió que Locky también había cambiado la extensión de los archivos cifrados a .AESIR. Esta nueva extensión continúa manteniéndose dentro de la mitología de los dioses nórdicos, con la variante anterior usando la extensión Thor.

      Desafortunadamente, en este momento todavía no hay manera de descifrar el Ransomware Locky.

      La variante Locky AESIR se distribuye a través de correos electrónicos falsos de advertencias del ISP

      Esta nueva campaña de Locky se está distribuyendo a través de correos electrónicos que pretenden ser una advertencia de su ISP, que señala que SPAM se está envíando desde su computadora. Estos mensajes de correo electrónico contendrá un tema de spam mailout y contienen un archivo adjunto como postal con el nombre de logs_ [target_name] .zip. Dentro de este archivo ZIP hay un archivo JS que, cuando se abre, descargará y ejecutará el ransomware de Locky.


      Locky se sigue instalando a través de archivos DLL

      Cuando se ejecuta el archivo JS adjunto se descargará una DLL cifrada y lo descifrará en la carpeta% Temp% de la máquina. Este archivo DLL luego se ejecutará utilizando el ejecutable legitimo de Windows llamado Rundll32.exe para instalar Locky en el equipo.


      la DLL de Locky se estará ejecutando con un comando similar al siguiente. Tenga en cuenta que la exportación de DLL que se utiliza para instalar Locky no será la misma en todos los casos.

      "C:\Windows\System32\rundll32.exe" %Temp%\vv3y5iUI.dll,jWo7sg8u
      Una vez instalado Locky, escaneará el equipo para hallar determinados tipos de archivos y los cifrará. Al cifrar un archivo, se codificará el nombre y añadirá la exension .aesir. Por ejemplo, un archivo llamado test.jpg podría ser renombrado a 016CCB88-61B1-ACB8-8FFA-86088F811BFA.aesir. El formato de este esquema estará formado por first_8_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [4_hexadecimal_chars] - [12_hexadecimal_chars] .aesir

      Las extensiones actualmente seleccionadas según MalwareHunterTeam son:

      yuv, .ycbcra, .xis, .x3f, .x11, .wpd, .tex, .sxg, .stx, .st8, .st5, .srw, .srf, .sr2, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .sd0, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .py, .psafe3, .plc, .plus_muhd, .pdd, .p7c, .p7b, .oth, .orf, .odm, .odf, .nyf, .nxl, .nx2, .nwb, .ns4, .ns3, .ns2, .nrw, .nop, .nk2, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .kc2, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .fh, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .dc2, .db_journal, .csl, .csh, .crw, .craw, .cib, .ce2, .ce1, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .ab4, .3pr, .3fr, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .st7, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m4p, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .st6, .st4, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .nd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cr2, .cdx, .cdf, .blend, .bkp, .al, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .rw2, .r3d, .pspimage, .ps, .pct, .pcd, .m4v, .fxg, .flac, .eps, .dxb, .drw, .dot, .db3, .cpi, .cls, .cdr, .arw, .ai, .aac, .thm, .srt, .save, .safe, .rm, .pwm, .pages, .obj, .mlb, .md, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .1cd, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .n64, .m4a, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .re4, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .sh, .class, .jar, .java, .rb, .asp, .cs, .brd, .sch, .dch, .dip, .pl, .vbs, .vb, .js, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .db, .mdb, .sql, .SQLITEDB, .SQLITE3, .011, .010, .009, .008, .007, .006, .005, .004, .003, .002, .001, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max, .3ds, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key
      Cuando se realiza el cifrado se mostrarán las notas de rescate que proporcionan información sobre cómo pagar el rescate. Los nombres de estas notas de rescate han cambiado para la variante AESIR Locky y ahora presentan un nombre _ [número] -INSTRUCTION.html
      - INSTRUCTION.html, y -INSTRUCTION.bmp.


      No es posible descifrar la variante del ransomware Locky AESIR

      Lamentablemente, todavía no es posible descifrar los archivos cifrados por el ransomware Locky de forma gratuita.

      La única manera de recuperar los archivos cifrados es a través de una copia de seguridad, o si tiene mucha suerte, a través de las copias de volumen shadow. Aunque Locky intenta quitar las copias shadow del volumen, en casos raros las infecciones del ransomware no lo hacen por alguna razón. Debido a esto, si usted no tiene una copia de seguridad viable, se le sugerirá tratar como un último recurso restaurar los archivos cifrados desde instantáneas de volumen guardades.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Locky Ransomware ahora utiliza la extensión Aesir para archivos cifrados

      Locky se sigue perfeccionando y manteniéndose actualizado, a pesar de ser uno de los pocos ransomware que aún no se puede descifrar debido a su robusta programación profesional...

      Aunque parece que no se ponen de acuerdo con que extensión de los archivo cifrar y si bien el lunes estaba informando en Twitter sobre esta variante .Aesir, hoy ya han vuelto a actualizar y ahora cifra los archivos con la extension .ZZZZZ



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.