CAMBIOS EN LAS NUEVAS VARIANTES QUE LLEGAN DEL CTB-LOCKER

---

Siguen llegando mails anexando ficheros ZIP conteniendo los SCR que instalan nuevas variantes de CTB-LOCKER, pero cabe señalar que, sin duda para convencer al usuario, el nombre del ZIP anexado es el mismo que el del destinatario del mail, si bien luego al desempaquetarlo ya adquiere su nombre propio,



MAIL MALICIOSO

______________





Asunto: romi smilfood bv

De: "Albert Borgen" <molotov@aljoumhouri.org>

Fecha: 04/02/2015 21:28

Para: <DESTINATARIO>



Afternoon,



===========================================

ROMI SMILFOOD BV

Kon Wilhelminahvn Nz 17 3134 KE Vlaardingen

Vlaardingen

NETHERLANDS

+31 20 633 96 63



ANEXADO : <DESTINATARIO.DOMINIO.zip>





______________________

FIN DEL MAIL MALICIOSO





como en este caso del que ofrecemos el preanalisis de virustotal:





MD5 18ab642f9141c0fc474f91af74bdff21

SHA1 5843721f06fb77bad7acf3c4c34dbe77d4e358b3

Tamaño del fichero 47.0 KB ( 48128 bytes )

SHA256: ebc134ba93fcc9baf6b248b441ee758f99c243a3328d7e39476c116c91eb58bd

Nombre: romi_smilfood_bv.scr

Detecciones: 26 / 54

Fecha de análisis: 2015-02-05 08:30:21 UTC ( hace 1 minuto )

CAMBIOS EN LAS NUEVAS VARIANTES DE RANSOMWARE CTB-LOCKER que recibimos actualmente



0 1





Antivirus Resultado Actualización

AVware Trojan.Win32.Generic!BT 20150205

Ad-Aware Gen:Variant.Kazy.549763 20150205

Avira TR/Agent.48128.242 20150205

BitDefender Gen:Variant.Kazy.549763 20150205

ByteHero Trojan.Malware.Obscu.Gen.002 20150205

CMC Trojan.Win32.Krap.2!O 20150205

Cyren W32/Trojan.XTAU-7622 20150205

DrWeb Trojan.DownLoader12.18214 20150205

ESET-NOD32 Win32/TrojanDownloader.Elenoocka.A 20150205

Emsisoft Gen:Variant.Kazy.549763 (B) 20150205

F-Prot W32/Trojan3.NRB 20150205

F-Secure Gen:Variant.Kazy.549763 20150205

Fortinet W32/Kryptik.CWXI!tr 20150205

GData Gen:Variant.Kazy.549763 20150205

K7GW Trojan ( 050000001 ) 20150205

Kaspersky Trojan-Downloader.Win32.Cabby.cekz 20150205

Malwarebytes Trojan.Ransom.TR 20150205

McAfee Ransom-CTB 20150205

McAfee-GW-Edition BehavesLike.Win32.PWSZbot.ph 20150205

MicroWorld-eScan Gen:Variant.Kazy.549763 20150205

Microsoft TrojanDownloader:Win32/Dalexis.D 20150205

Norman Elenoocka.AE 20150205

Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150205

Sophos Troj/Agent-ALLW 20150205

Tencent Win32.Trojan.Ctb-locker.Auto 20150205

VIPRE Trojan.Win32.Generic!BT 20150205





Sirva este como muestra de los varios que hemos recibido y que pasamos a controlar a partir de la version 31.59 del ELISTARA de hoy



Dicha version del ELISTARA 31.59 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy



saludos



ms, 5-2-2015





SE RECUERDA UNA VEZ MAS:



"no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias."



Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.



y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO Y GUARDAR COMO PREDETERMINADO en columna de la derecha



-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-





y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.