A parte de eso, y de nuevos mensajes de bienvenida como el de la imagen de arriba, continua usando RC4 para comunicarse con los servidores C&C, sigue asignando un hash MD5 para cada "usuario", se inyecta en Explorer.exe, desactiva la restauración del sistema, borra las shadow volumen copies y usa BCDedit para desactivar la reparación de inicio de Windows; una auténtica joya...
Pero lo curioso es que la firma de antivirus rumana BitDefender anunció el lunes que ha desarrollado una "vacuna" que puede evitar que un usuario se infecte con este malware, una vacuna que simplemente simula que se está utilizando un teclado configurado para el idioma ruso, pues parece que el malware realiza tal comprobación antes de proceder a la infección/cifrado de archivos. Al menos eso es lo que observaron en las infecciones en los EE.UU.; en muchos países europeos occidentales como Francia, Italia, Alemania y España; y en la India y China.
Evidentemente la herramienta, que se puede descargar de forma gratuita desde su página, es sólo preventiva. Es decir, no deshace el daño si el malware ya ha infectado a una máquina, y sólo se aplica a la última versión 4 de Cryptowall.
Aquí se puede ver la herramienta actualizada para otras versiones de ransomware.
Fuentes:
- Hackplayers
- Bitdefender Offers Free CryptoWall Vaccine
- This free fix will stop Cryptowall 4 from holding your PC hostage
- CryptoWall 4.0 released with new Features such as Encrypted File Names
- Cryptowall 4.0: Update makes world's worst ransomware worse still
- Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect
estoy probando el anti-rasomware de malbarebytes a ver como funciona contra locky
ResponderBorrar