CONTINUOS MAILS ANEXANDO NUEVAS VARIANTES DE FICHEROS CAB QUE DESCARGAN VARIANTES DEL CTBLOCKERmsc hotline sat Friday, April 17, 2015 Se está produciendo una avalancha de mails maliciosos con un anexado CAB, que contiene un SCR, el cual descarga un EXE que resulta ser un CTBLOCKER, de los que codifican la informacion de todas las maquinas a las que tiene acceso el ordenador que se infecta, incluido el servidor, con una codificacion AES256, para lo que el hacker ofrece enviar herramienta de descifrado pagando un rescate de 3 BITCOINS (unos 600 euros) La extension que añade a los ficheros afectados es variable, a difereccia de la de .ECC que añade del TESLACRYPT o la tan conocida .encrypted de los que codifica el CRYPTOLOCKER Vamos añadiendo control y eliminacion de los ficheros descargados por dichos downloaders, en las nuevas variantes del ELISTARA que hacemos a diario, que hoy será la versión 32.10 Los mail se reciben de una empresa que puede ser una de las que ya ha sido infectada, y que su nombre es empleado como nombre del fichero con extension SCR, que empaqueta dentro de un fichero CAB que anexa al mail malicioso: De : <remitente posiblemente spoofing> Asunto: <nombre de otro usuario, que luego figura tras la firma> Para: <destinatario que recibe el mail> Good morning, ------------------------------------- "NOMBRE DE LA EMPRESA SUPUESTAMENTE INFECTADA Y QUE REENVIA INVOLUNTARIALMENTE EL MAIL", S.A. DIRECCION DE DICHA EMPRESA :"C/ ..........,2 46014 Valencia" Valencia SPAIN telefono:... ANEXADO : "igual nombre que el del asunto".CAB El preanalisis de virustotal del SCR extraido del CAB (ambos tienen el mismo nombre) MD5 aebbc7737d17976662859f9d32242ddc SHA1 090e4e64bbb06f30354aece6d8f5c10582fb02b1 SHA256: aa74e4aa7eba5632d26dfce9fa30927318a39e6e5d5aa4deff7e04651ec337a2 Nombre: "nombre de una empresa que posiblemente se ha infactado".scr Detecciones: 24 / 56 Fecha de análisis: 2015-04-17 08:23:29 UTC ( hace 3 minutos ) 0 1 Antivirus Resultado Actualización AVG Inject2.BYQI 20150417 Ad-Aware Trojan.Agent.BJAF 20150417 AhnLab-V3 Win-Trojan/CTBLocker.Gen 20150417 BitDefender Trojan.Agent.BJAF 20150417 ByteHero Trojan.Malware.Obscu.Gen.002 20150417 CMC Packed.Win32.Katusha.3!O 20150416 ESET-NOD32 a variant of Win32/Kryptik.DFKW 20150417 Emsisoft Trojan.Agent.BJAF (B) 20150417 F-Secure Trojan.Agent.BJAF 20150417 Fortinet W32/Elenoocka.C!tr.dldr 20150417 GData Trojan.Agent.BJAF 20150417 K7AntiVirus Trojan ( 004bd8781 ) 20150417 K7GW Trojan ( 004bd8781 ) 20150417 Kaspersky UDS:DangerousObject.Multi.Generic 20150417 Malwarebytes Trojan.Agent.PRTIGen 20150417 MicroWorld-eScan Trojan.Agent.BJAF 20150417 Microsoft TrojanDownloader:Win32/Dalexis.F 20150417 Norman Kryptik.CCQZ 20150416 Panda Generic Suspicious 20150416 Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150417 Sophos Troj/Agent-AMPL 20150417 Tencent Trojan.Win32.Qudamah.Gen.5 20150417 ViRobot Trojan.Win32.Agent.86016.CT 20150417 nProtect Trojan.Agent.BJAF 20150417 Dicho SCR contenido en el CAB que anexan los mails, descargan nuevas variantes como esta que tambien pasamos a controlar con las nuevas versiones del ELISTARA: MD5 3b4db064502262801aa0a4243338b48f SHA1 2e45c0694b898bd8f32b83c0aa97704d02773728 Tamaño del fichero 822.0 KB ( 841728 bytes ) SHA256: 311633b8f946f97a7a15e5a562eab350bb79807dd7b02d3be243ff6e021f53c9 Nombre: mex.exe Detecciones: 13 / 56 Fecha de análisis: 2015-04-17 08:41:39 UTC ( hace 5 minutos ) 0 1 Antivirus Resultado Actualización AhnLab-V3 Trojan/Win32.CTBLocker 20150417 Baidu-International Trojan.Win32.Ransom.mfli 20150417 Bkav HW32.Packed.6BEC 20150417 ESET-NOD32 Win32/Filecoder.DA 20150417 K7AntiVirus Trojan ( 003c36381 ) 20150417 K7GW Trojan ( 003c36381 ) 20150417 Kaspersky Trojan-Ransom.Win32.Foreign.mfli 20150417 Malwarebytes PUP.Optional.AdobeExtendedPlugin.C 20150417 McAfee Artemis!3B4DB0645022 20150417 Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150417 Sophos Mal/Generic-S 20150417 Tencent Trojan.Win32.YY.Gen.2 20150417 TrendMicro-HouseCall Suspicious_GEN.F47V0416 20150417 Dicha version del ELISTARA 32.10 que los controlará y eliminará, estará disponible en nuestra web a partir de las 15 h CEST de hoy. Como se puede ver, McAfee lo detecta heuristicamente , para lo cual es muy importante tener configurada la consola del VirusScan con la heuristica a nivel MUY ALTO, y tener conexion a internet para que dicha configuracion sea útil. APARTE; No olvidar que continuamente van apareciebndio nuevas variantes de estos CTBLOCKERS, llegando en los mails infectados, y que incluso un mismo SCR contenido en un CAB, descarga diferentes versiones de estos CTBLOCKERS en funcion del tiempo, por lo que el mismo fichero va descargando nuevas variantes, que iran siendo controladas, pero solo el propio usuario es el que puede evitar ejecutar nuevas variantes desconocidas, evitando ejecutar anexados a mails no solicitados. Se recuerda que se aconseja instalar una solución perimetral que impida que los usuarios reciban mails con ficheros anexados que tengan extension CAB, ZIP, EXE, SCR, COM, PIF, CPL, BAT, etc, y que con ello se les impida tener acceso a descargar-ejecutar los ficheros maliciosos que los antivirus aun no conozcan. E independientemente de ello, recordar que siempre de ha de tener COPIA DE SEGURIDAD AL DIA, y fuera del alcance de estos bichos (en una unidad externa no compartida) MUCHO CUIDADO QUE ES REALMENTE UNA AVALANCHA DE NUEVAS VARIANTES LLEGADAS POR MAIL LO QUE NOS ESTA LLEGANDO DE TODO TIPO DE USUARIOS, QUE NADIE ESTA EXENTO DE RIESGO, Y LO MAS IMPORTANTE ES QUE LOS USUARIOS ESTEN CONCIENCIADOS, YA QUE ELLOS PUEDEN EVITAR PROBLEMAS AL RESPECTO ANTE NUEVAS VARIANTES INICIALMENTE DESCONOCIDAS, NO EJECUTANDO FICHEROS ANEXADOS A MAILS NO SOLICITADOS. Dicha version del ELISTARA 32.10 que los detecta y elimina, estara disponible en nuestra web a partir de las 15 horas CEST de hoy saludos ms, 17-4-2015 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |