MUESTRA DE UN CRYPTOLOCKER DEL PHISHING DE ENDESA, CAZADO CON EL SPROCES Y PASADO A CONTROLAR A PARTIR DEL ELISTARA 34.66

---

A partir del ELISTARA 34.66 de hoy pasamos a controlar las muestras que se han cazado por el examen del informe generado por el SPROCES sobre el ordenador infectado.



Se recuerda que solo se infecta el ordenador en el que se ejecuta el enlace del falso mail de ENDESA, pues los demas ordenadores comparticos, especialmente los servidores aunque sean unidades virtuales, resultan cifrados los ficheros, pero no infectados dichos ordenadores.



Para las nuevas variantes aun no controladas, se ve el fichero ransomware en el informe del SPROCES, fichero que, tras analizar dicho informe, se indica aparcar añadiendole .VIR a su extension y enviarnoslo para que podamos controlarlo a partir de las siguientes versiones del ELISTARA.



En este caso son solo 10 de los 57 los antivirus de virustotal, los que actualmente lo detectan, como puede verse en el informe generado por dicho analisis:





MD5 ec11c3a1be57b62e7fbede4b01b79836

SHA1 86e4d0d1f3e789ebed5f224dfa553c39e6c1243d

Tamaño del fichero 353.7 KB ( 362189 bytes )

SHA256: 3838e4d078bc3d1c9dcb436d03109c1c6f385ff0d8edf03634e42cc08255636c

Nombre: ykorygip.exe.vir

Detecciones: 10 / 57

Fecha de análisis: 2016-05-31 13:47:55 UTC ( hace 0 minutos )

0 4



Antivirus Resultado Actualización

Baidu Win32.Trojan.WisdomEyes.151026.9950.9994 20160530

Symantec Trojan.Cryptolocker.H 20160531

Emsisoft Trojan-Ransom.Win32.Agent (A) 20160531

Kaspersky Trojan-Ransom.NSIS.Onion.qef 20160531

TrendMicro TROJ_BOAXXE.BYX 20160531

TrendMicro-HouseCall TROJ_BOAXXE.BYX 20160531

Malwarebytes Ransom.TorrentLocker.NSIS 20160531

Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160531

McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20160530

ESET-NOD32 a variant of Win32/Injector.CZKV 20160531



Dicha versión del ELISTARA 34.66 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy





saludos



ms, 31-5-2016