MAS Y MAS VARIANTES DE RANSOMWARES DE HOY, EL SHIT y ultimamente el THOR, éste llegado en 3 ultimos EXE recibidos... (TODOS ELLOS DERIVADOS DEL LOCKY-ZEPTO-ODIN-...Y AHORA SHIT Y THOR)

---

LOS QUE AÑADEN .SHIT A LA EXTENSION DE LOS FICHEROS CIFRADOS

____________________________________________________________



Hoy se han despertado nuevos ransomwares, o variantes de algunos ya conocidos, como el SHIT, que no es mas que una variante de los que ultimamente añadian .ODIN a la extensión de los ficheros cifrados, y es tan prolifico que de todas partes nos llegan muestras, como esta, que pasamos a controlar a partir del ELISTARA 35.49 de hoy y cuyo preanalisis de virustotal ofrece el siguiente informe



MD5 96fa81981d8819b22a83f041c7c18192

SHA1 707ef9ac8527e5d6127a57a9018afbd4d1c074ff

File size 125.8 KB ( 128864 bytes )

SHA256: 5806f1c8aa8c982b1534ea37fcee1c13e3115570a615adaba1b78eb6e13f7e27

File name: saved letter 363CC14.js

Detection ratio: 24 / 55

Analysis date: 2016-10-25 08:50:58 UTC ( 0 minutes ago )

0

1



Antivirus Result Update

Ad-Aware Generic.JS.NemucodA.B47AB966 20161025

AegisLab Troj.Downloader.Script!c 20161025

AhnLab-V3 JS/Obfus.S158 20161025

Arcabit Generic.JS.NemucodA.B47AB966 20161025

Avira (no cloud) JS/Dldr.Locky.VALY 20161025

BitDefender Generic.JS.NemucodA.B47AB966 20161025

Bkav JS.eIframeDownloader.63B2 20161024

Cyren JS/Locky.BD!Eldorado 20161025

DrWeb SCRIPT.Virus 20161025

ESET-NOD32 JS/Kryptik.BBQ 20161025

Emsisoft Generic.JS.NemucodA.B47AB966 (B) 20161025

F-Prot JS/Locky.BD!Eldorado 20161025

F-Secure Generic.JS.NemucodA.B47AB966 20161025

Fortinet JS/Kryptik.BBQ!tr 20161025

GData Generic.JS.NemucodA.B47AB966 20161025

Ikarus Trojan-Downloader.JS.Nemucod 20161025

Kaspersky HEUR:Trojan-Downloader.Script.Generic 20161025

McAfee JS/Nemucod.ot 20161025

eScan Generic.JS.NemucodA.B47AB966 20161025

NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20161025

Qihoo-360 virus.js.gen.1 20161025

Symantec JS.Downloader 20161025

TrendMicro JS_NEMUCOD.SMAA9 20161025

TrendMicro-HouseCall JS_NEMUCOD.SMAA9 20161025



Al igual que los anteriores, llega en un ZIP que contiene un .js (tambien los hay con .wsf) cuya ejecución instala y ejecuta un EXE o DLL que cifra los ficheros de datos y les añade la extensión .SHIT , en lugar de LOCKY, ZEPTO u ODIN que hacian las versiones anteriores de similar ransomware.



Las .DLL generadas por los de las Noticias publicadas del mismo hasta ahora, son los siguientes:



UIgHdb1.dll , QwfuP8WM3FnfiVi.dll , 4hUz36jLK0vnh64h.dll





Y OTROS QUE AÑADEN .THOR A LA EXTENSION DE LOS CIFRADOS:

_____________________________________________________________





y ahora recibimos otras variantes que instalan .EXE y añaden .THOR a los ficheros cifrados



5a41089b.exe, 2696a5fe.exe, 61067bf1.exe



que tambien pasamos a controlar a partir del ELISTARA 35.49 de hoy





y de los que un analisis con virustotal ofrece el siguiente informe:



MD5 5a41089bd7174f843dbe5c87134ed300

SHA1 374e94082a2dfdf62ba5c99fac3b5df1fea74b8c

File size 197.5 KB ( 202228 bytes )

SHA256: 2d327fbeae34a376ae0b335891d944023a4a0e1c201dbddfa529a07b7822fd19

File name: 5a41089b.exe

Detection ratio: 11 / 56

Analysis date: 2016-10-25 09:33:27 UTC ( 8 minutes ago )

0

1



Antivirus Result Update

AegisLab Heur.Advml.Gen!c 20161025

CAT-QuickHeal Ransom.Locky.A 20161025

CrowdStrike Falcon (ML) malicious_confidence_90% (D) 20160725

ESET-NOD32 NSIS/Injector.HS 20161025

Fortinet W32/Injector.HJ!tr 20161025

K7AntiVirus Trojan ( 004fb7741 ) 20161025

K7GW Trojan ( 004fb7741 ) 20161025

Kaspersky UDS:DangerousObject.Multi.Generic 20161025

McAfee Artemis!5A41089BD717 20161025

McAfee-GW-Edition BehavesLike.Win32.AdwareOpenCandy.cc 20161025

Symantec Heur.AdvML.B 20161025



Sea como sea, es una avalancha de ransomwares que se evita dejando de ejecutar ficheros anexados a mails no solicitados, por lo que una vez mas, insistimos en ello !!!



Dicha versión del ELISTARA 35.49 que los detecta y elimina, estará disponible en nuestra web a partir del 26-10-2016



saludos



ms, 25-10-2016