Alerta de virus, acabo de recibir este mensaje de mi distribuidor de antivirus.
TRANQUILOS SOLO AFECTA A SERVIDORES WINDOWS 2003 POR PUERTO 3389
Buenas tardes,
Queremos informaros sobre una infección llamada “Anti-child Porn Spam Protection”. Este malware va dirigido a servidores Windows, e intenta acceder al servidor por medio de Terminal Server (3389 por defecto). Si reciben respuesta a través de este puerto, utilizan la fuerza bruta para romper la contraseña y acceder al servidor. Una vez está dentro del servidor, la infección comprime todos los datos en formato rar y le aplica una contraseña con clave AES de 256bits
Un ejemplo de nombre de fichero cifrado:
asiento_contable2012.zip(!! to decrypt email id 601318046 to spainsec2@gmail.com !!).exe
En el caso de que os encontréis con algún cliente infectado con este malware comentaros que la infección es desinfectable y también es posible recuperar los archivos cifrados. Para descifrar los archivos es estrictamente necesario que realicéis lo siguiente:
1 Crear un live cd de ESET Sysrescue y hacer un análisis del sistema
2 Restaurar los archivos detectados como Win32/Filecoder a una carpeta localizada en el sistema
3 Muestras de archivos cifrados por la infección.
4 Las carpetas ocultas alojadas en c:programdata (los nombres están compuestos por 8 caracteres aleatorios)
5 Todo ello se comprime con contraseña y nos lo enviáis por correo a ayuda@eset.es indicándonos esa contraseña y el EAV del cliente infectado.
Ya sabéis que estamos a vuestra disposición para lo que necesitéis.
Un cordial saludo,
Departamento técnico de ESET en Ontinet.com
No hay comentarios:
Publicar un comentario