Inicio de zonavirus, antivirus
zonavirus / noticias / nueva gama de ransonmware cryptolocker que llegan en falso mail de correos pero mas faciles de ejecutar, y añade .enc a los cifrados

NUEVA GAMA DE RANSONMWARE CRYPTOLOCKER QUE LLEGAN EN FALSO MAIL DE CORREOS PERO MAS FACILES DE EJECUTAR, Y AÑADE .ENC A LOS CIFRADOS

msc hotline sat
Wednesday, August 31, 2016
Hasta ahora los Cryptolockers conocidos que llegaban en un mail aparentando ser de Correos sobre una carta certificada, al pulsar sobre ellos ofrecian un CAPTCHA que aparentaba ser una verificación sin la que no se descargaba del fichero.



Pues ahora acaba de salir una nueva variante que llega un falso eMail de Correos con un link a un PHP que descarga directamente un ZIP que contiene un JS :



"Carta_Certificada.zip" -> "Carta_Certificada.js"



que al ejecutarlo descarga y ejecuta un "file.exe" que instala el dichoso cryptolocker pasando a cifrar todos los ficheros de las unidades compartidas



El .js contenido en el zip es una variante de Downloader NEMUCOD, cuyo preanalisis de virustotal ofrece el siguiente informe:



MD5 c5b19697801222661be52d2cb05a7f95

SHA1 9b530d34964b0bcebb801a2bce04f528a63ac98e

File size 29.1 KB ( 29754 bytes )

SHA256: 2d42f26ffea8bd12e0a066037661ceb65a5f476f901fb8bc89ae7a0249374c0e

File name: Carta_Certificada.js

Detection ratio: 5 / 56

Analysis date: 2016-08-31 10:08:56 UTC ( 6 minutes ago )

0

1



Antivirus Result Update

Cyren JS/Nemucod.DA!Eldorado 20160831

ESET-NOD32 JS/TrojanDownloader.Nemucod.ATA 20160831

F-Prot JS/Nemucod.DA!Eldorado 20160831

Qihoo-360 virus.js.gen.70 20160831

Tencent Js.Trojan-downloader.Nemucod.Szkz 20160831





Y el resultante de su ejecución, el propiamente Cryptolocker, ofrece este informe:



MD5 2e548cc4518a676e0f7b0c4fc79030b8

SHA1 33a2c666a1746405003c642c5a816b468f3bc166

File size 405.5 KB ( 415232 bytes )

SHA256: d59dafa6c071bf73bfa978e7642a706c03b5da35086de7c633078b99f1e99ef9

File name: uhijurtz.exe

Detection ratio: 13 / 58

Analysis date: 2016-08-31 10:24:28 UTC ( 1 hour, 7 minutes ago )

0

1



Antivirus Result Update

AVware Trojan.Win32.Generic.pak!cobra 20160831

AegisLab Heur.Advml.Gen!c 20160831

Baidu Win32.Trojan.Kryptik.alb 20160831

Bkav HW32.Packed.179F 20160830

CrowdStrike Falcon (ML) malicious_confidence_91% (W) 20160725

Invincea ransom.win32.cerber.a 20160830

Kaspersky UDS:DangerousObject.Multi.Generic 20160831

McAfee Artemis!2E548CC4518A 20160831

McAfee-GW-Edition BehavesLike.Win32.Sality.gc 20160831

Rising Malware.Generic!ZX4JYVOY16U@2 (thunder) 20160831

Sophos Mal/Cerber-B 20160831

Symantec Heur.AdvML.B 20160831

VIPRE Trojan.Win32.Generic.pak!cobra 20160831





Ambos ficheros pasamos a controlarlos a partir del ELISTARA 35.11 de hoy, que estará disponible en nuestra web a partir de las 15 h CEST del 1-9-2016



Tener presente que esta variante añade .enc a los ficheros cifrados, en lugar de .encrypted como hacían las versiones anteriores



saludos



ms, 31.8.2016

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / nueva gama de ransonmware cryptolocker que llegan en falso mail de correos pero mas faciles de ejecutar, y añade .enc a los cifrados
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto