Ransomware: Nuevas variantes “locked- y SGAE.”

Tal como comentábamos a través de nuestra cuenta de Twitter de @InfoSpyware, (Twitt1, Twitt2, ) durante este mes de Mayo 2012 han aparecido dos nuevas y peligrosas variantes del comúnmente conocido ransomware “Virus de la Policía” con sus variantes: “SGAE y Rannoh locked-“. Si bien guardan ciertas similitudes en su modus operandi con variantes anteriores, estas incorporan también algunas diferencias que están logrando infectar a cientos de nuevas victimas al día que llegan buscando soluciones en nuestro Foro de InfoSpyware.

Ransomware de la SGAE:
Este es el más nuevo ransomware que anda dando vueltas y uno de los que hasta el momento ha logrado infectar a más usuarios. Detectamos los primeros reportes en el Foro de InfoSpyware desde el pasado 14 de Mayo y en menos de 3 días recibimos cerca de 200 nuevos casos reportados, mas otros cientos de usuarios infectados que solo tuvieron que seguir las recomendaciones brindadas para desinfectar sus equipos sin solicitar ayuda extra.

.- Bloquea la utilización del PC con la pantalla fija similar a los anteriores “Virus del Policía”, pero en este caso diciendo venir de parte de la SGAE (Sociedad General de Autores y Editores), mostrando la IP y el ISP de la victima.

.- Impide el acceso en ‘Modo Seguro’ y muestra una pantalla en blanco con un mensaje en ingles y otros en alemán que dicen:
- Please wait while the connection is being established.
- Bitte warten Sie während die Werbindung herges tellt wird.

.- Al igual que sus primos, bloquea al ‘Administrador de Tareas’ (TaskManager), al registro de Windows (Regedit) y desaparece los iconos y carpetas del escritorio de Windows (NoActiveDesktop)

.- Los archivos del malware hasta el momento son alguno de estos: BSI.bund.exe – WINSnapshot_x86.exe – FSnapshot_x86.exe

.- Se aprovecha de una vulnerabilidad 0-day de todas las versiones de JAVA 6, por lo que es muy importante actualizar sus versiones a JAVA 7. Hace muy pocos días fue liberada la versión de JAVA 7, de ahí la cantidad de usuarios sin actualizar y posibles victimas.

.- Para su eliminación: Es necesario poder acceder al ‘símbolo del sistema’ y desde ahí ejecutar nuestra ultima versión disponible de PoliFix 2.0.1, la cual se encarga de eliminar y restaurar las modificaciones realizadas por el virus SGAE.
.

Ransomware locked- (Ransom.Win32.Rannoh)
Las primeras muestras nos llegaron el 5 de Mayo, aparte de la clásica imagen bloqueando el ordenador si no se paga una multa, y del resto de bloqueos similares a sus primos, esta variante de ransomware incorporo una particularidad que nos llamo mucho la atención…
Y es que esta vez, si cumple lo que promete! cifrando (encriptando) varios archivos al azar del equipo infectado mayores de 4096 bytes, añadiendo la palabra “locked-” antes del nombre del archivo y 4 caracteres aleatorios después de la extensión original del archivo, que los convierten en archivos inutilizables.
Kaspersky Labs ha desarrollo una pequeña utilidad gratuita llamada: RannohDecryptor con la cual es muy sencillo poder desencriptar los archivos.



1.- Descargar y ejecutar PoliFix by @InfoSpyware.
2.- Descargar y ejecutar RannohDecryptor.exe
3.- Haga clic en ‘Start Scan’ para comenzar el proceso y en la siguiente ventana presionar en continuar.
4.- ‘Specify the path to original file’ – Para iniciar el descifrado, la utilidad le pedirá que indique la ruta de al menos un archivo original (sin encriptar) que dispongamos en un USB, CD o podamos volver a descargar de Internet. Por ej: ErickClaptonHaven.mp3
5.- ‘Specify the path to encrypted file’ – En este paso indicamos el archivo que tenemos cifrado (encriptado) Por ej: loked-ErickClaptonHaven.mp3.mqhv
6.- RannohDecryptor calculara la clave y desencriptara el resto de los archivos de forma automática.

Autor: Marcelo Rivero
Microsoft MVP Enterprise Security - Founder & CEO to ForoSpyware & InfoSpyware.