NUEVA GAMA DE RANSONMWARE CRYPTOLOCKER QUE LLEGAN EN FALSO MAIL DE CORREOS PERO MAS FACILES DE EJECUTAR, Y AÑADE .ENC A LOS CIFRADOSmsc hotline sat Wednesday, August 31, 2016 Hasta ahora los Cryptolockers conocidos que llegaban en un mail aparentando ser de Correos sobre una carta certificada, al pulsar sobre ellos ofrecian un CAPTCHA que aparentaba ser una verificación sin la que no se descargaba del fichero. Pues ahora acaba de salir una nueva variante que llega un falso eMail de Correos con un link a un PHP que descarga directamente un ZIP que contiene un JS : "Carta_Certificada.zip" -> "Carta_Certificada.js" que al ejecutarlo descarga y ejecuta un "file.exe" que instala el dichoso cryptolocker pasando a cifrar todos los ficheros de las unidades compartidas El .js contenido en el zip es una variante de Downloader NEMUCOD, cuyo preanalisis de virustotal ofrece el siguiente informe: MD5 c5b19697801222661be52d2cb05a7f95 SHA1 9b530d34964b0bcebb801a2bce04f528a63ac98e File size 29.1 KB ( 29754 bytes ) SHA256: 2d42f26ffea8bd12e0a066037661ceb65a5f476f901fb8bc89ae7a0249374c0e File name: Carta_Certificada.js Detection ratio: 5 / 56 Analysis date: 2016-08-31 10:08:56 UTC ( 6 minutes ago ) 0 1 Antivirus Result Update Cyren JS/Nemucod.DA!Eldorado 20160831 ESET-NOD32 JS/TrojanDownloader.Nemucod.ATA 20160831 F-Prot JS/Nemucod.DA!Eldorado 20160831 Qihoo-360 virus.js.gen.70 20160831 Tencent Js.Trojan-downloader.Nemucod.Szkz 20160831 Y el resultante de su ejecución, el propiamente Cryptolocker, ofrece este informe: MD5 2e548cc4518a676e0f7b0c4fc79030b8 SHA1 33a2c666a1746405003c642c5a816b468f3bc166 File size 405.5 KB ( 415232 bytes ) SHA256: d59dafa6c071bf73bfa978e7642a706c03b5da35086de7c633078b99f1e99ef9 File name: uhijurtz.exe Detection ratio: 13 / 58 Analysis date: 2016-08-31 10:24:28 UTC ( 1 hour, 7 minutes ago ) 0 1 Antivirus Result Update AVware Trojan.Win32.Generic.pak!cobra 20160831 AegisLab Heur.Advml.Gen!c 20160831 Baidu Win32.Trojan.Kryptik.alb 20160831 Bkav HW32.Packed.179F 20160830 CrowdStrike Falcon (ML) malicious_confidence_91% (W) 20160725 Invincea ransom.win32.cerber.a 20160830 Kaspersky UDS:DangerousObject.Multi.Generic 20160831 McAfee Artemis!2E548CC4518A 20160831 McAfee-GW-Edition BehavesLike.Win32.Sality.gc 20160831 Rising Malware.Generic!ZX4JYVOY16U@2 (thunder) 20160831 Sophos Mal/Cerber-B 20160831 Symantec Heur.AdvML.B 20160831 VIPRE Trojan.Win32.Generic.pak!cobra 20160831 Ambos ficheros pasamos a controlarlos a partir del ELISTARA 35.11 de hoy, que estará disponible en nuestra web a partir de las 15 h CEST del 1-9-2016 Tener presente que esta variante añade .enc a los ficheros cifrados, en lugar de .encrypted como hacían las versiones anteriores saludos ms, 31.8.2016 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |