Infeccion de ransomware sin correo y con IE actualizado

Responder
alejandrovazuezmx
Mensajes: 94
Registrado: 08 Oct 2008, 15:12

Infeccion de ransomware sin correo y con IE actualizado

Mensaje por alejandrovazuezmx » 08 Mar 2016, 16:31

Estimados



Recurro a ustedes dado que he tenido dos infecciones de mis equipos en poco tiempo, perdiendo toda mi informacion, los archivos se encriptaron y se les adciono la extension .mp3, logre aparcar el virus con elistara, pero lo que me preocupa y supongo que a muchos profesionales de TI es la manera que ataca ya que al parecer ya no entra con algun correo con un adjunto o una liga, o por un agujero de explorador. Tampoco se ejecuto ningun archivo malicioso, y al parecer se lanza cuando se reinicia el equipo. envio muestras e infosat y agradezco el apoyo brindado asi como tambien espero algun consejo para que esto no pase mas.



Saludos y muchas gracias



(4-3-2016 17:30:27 (GMT))

EliStartPage v34.08 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2016)

--------------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0) (64 bits)

Usuario: admin

ID de Usuario: S-1-5-21-2066015308-3711690954-2985932361-1000

Cadenas Víricas: 25357



Lista de Acciones (por Acción Directa):

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.html --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.png --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.txt --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.html --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.png --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.txt --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-3-2016 17:30:32 (GMT))

EliStartPage v34.08 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2016)

--------------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0) (64 bits)

Usuario: Administrador

ID de Usuario: S-1-5-21-2066015308-3711690954-2985932361-500

Cadenas Víricas: 25357



Lista de Acciones (por Acción Directa):

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.html --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.png --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+tmhiv.txt --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).

C:\Users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(4-3-2016 17:31:59 (GMT))

EliStartPage v34.08 (c)2016 S.G.H. / Satinfo S.L. (Actualizado el 4 de Marzo del 2016)

--------------------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.0) (64 bits)

Usuario: mhernandez

ID de Usuario: S-1-5-21-635439897-2623938120-3078492235-2957

Cadenas Víricas: 25357



Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\CSMLIVBQYTJX.EXE.Muestra EliStartPage v34.08

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CSMLIVBQYTJX.EXE --> Eliminado

C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.html --> Eliminado (Fichero Complementario).

C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.png --> Eliminado (Fichero Complementario).

C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+jwxfm.txt --> Eliminado (Fichero Complementario).

C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.html --> Eliminado (Fichero Complementario).

C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.png --> Eliminado (Fichero Complementario).

C:\Users\mhernandez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReCoVeRy_+yujfl.txt --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "MAIKEYK"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"

Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "RPDTWPU"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"

Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "SGBKJCQ"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"

Entrada Eliminada [HKUS\S-1-5-21-635439897-2623938120-3078492235-2957\...\Run] "ATENCLP"="C:\Windows\system32\CMD.EXE /c start C:\Windows\csmlivbqytjx.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Infeccion de ransomware sin correo y con IE actualizado

Mensaje por msc hotline sat » 08 Mar 2016, 18:10

Afortunadamente el ELISTARA ya ha encontrado y aparcado el ransomware en cuestion:



Ahora tiene que enviarnos el fichero que le decimos para pasar a controlarlo en la siguiente version del ELISTARA 34.11



[b]Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\CSMLIVBQYTJX.EXE.Muestra EliStartPage v34.08

a "virus@satinfo.es". Gracias.

[/b]






Si desea alguna informacion al respecto, vea nuestra "Biblia"



http://www.satinfo.es/blog/2015/62372/







Y si quiere, en el mismo mail que nos envia la muestra que le pide el ELISTARA, envienos el informe que genera el SPROCES (son solo 5 segundo) ejecutandolo y pulsando en SALIR, por si vemos la causa de como se ha infectado...





saludos



ms, 8-3-2016









saludos



ms, 8-3-2016

alejandrovazuezmx
Mensajes: 94
Registrado: 08 Oct 2008, 15:12

Re: Infeccion de ransomware sin correo y con IE actualizado

Mensaje por alejandrovazuezmx » 08 Mar 2016, 19:42

Hola ya he enviado la muestra.



Desafortuandamente ya formatie la maquina infectda, ya no puedo ejecutar sprocess



saludos

alejandrovazuezmx
Mensajes: 94
Registrado: 08 Oct 2008, 15:12

Re: Infeccion de ransomware sin correo y con IE actualizado

Mensaje por alejandrovazuezmx » 08 Mar 2016, 19:44

Hola ya he enviado la muestra.



Desafortuandamente ya formatie la maquina infectda, ya no puedo ejecutar sprocess



saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Infeccion de ransomware sin correo y con IE actualizado

Mensaje por msc hotline sat » 08 Mar 2016, 19:59

Lo primero que habriamos visto en el informe del SPROCES es la version del navegador usado, que es la causa mas probable de la infeccion, si no ejecuto ningun anexado, ni pulso en ningun enlace, ni ..., claro que pudo descargar cualquier downware desde una web de descarga de utilidades, que ademas de instalarle lo que queria, si no desmarco la descarga de otras aplicaciones, le descargara e instalara algun fichero con relacion al TESLACRYPT, en un doc con macros, en un js con el Nemucod, etc



Pero si ya ha formateado el ordenador, mire de recordar si instalo el IE11 o mantenia el IE9 correspondiente al Windows 7, el cual microsoft no parcheaba las vulnerabilidades que permitian infectarse por navegar por Internet.



Recuerde nuestra "Biblia" sobre proteccion contra ransomwares:



http://www.satinfo.es/blog/2015/62372/



Y mañana analizaremos la muestra enviada y la pasaremos a controlar especificamente con el ELISTARA 34.11



saludos



ms, 8-3-2016

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Infeccion de ransomware sin correo y con IE actualizado

Mensaje por msc hotline sat » 09 Mar 2016, 10:33

Sobre la muestra pedida por el ELISTARA, que nos has enviado, efectivamente es una variante del RANSOMWARE TESLACRYPT, como indicamos en:



http://www.zonavirus.com/noticias/2016/nueva-variante-de-teslacrypt-cazada-por-la-heuristica-del-elistara.asp



Quedamos pendientes de que confirmes si los parches del navegador los aplicaste tras instalar el IE11, pues de lo contrario de poco servian.



Y solo añadir que el dichoso TESLACRYPT está prolifernado de mala manera, pues hoy, aparte de la tuya, hemos recibido 17 nuevas variantes que generalmente se descargan de downloaders como el JS.NEMUCOD, pero en cualquier caso todas aparcadas por el ELISTARA, y a medida que las vamos recibiendo, las pasamos a controlar especificamente con las nuevas versiones de nuestra utilidad "estrella" (ELISTARA.EXE)



Estamos monitorizando dichas muestras y publicaremos resumen del analisis en cuanto terminemos con ellos (espero que en 1 hora mas o menos)



Saludos



ms, 9-3-2016

Responder

Volver a “Foro Virus - Cuentanos tu problema”