NUEVA VARIANTE DE CRYPTOLOCKER QUE LLEGA ANEXADO A UN MAIL CON PHISHING, PERO CAMBIA EL AÑADIDO EN LOS CIFRADOS POR .xxxxxxmsc hotline sat Wednesday, December 7, 2016 Si bien estabamos acostumbrados en reconocer las infecciones del Cryptolocker por añadir a los ficheros cifrados la extension .encrypted, O .enc, ahora nos llega una nueva saga que solo añade .xxxxxx, lo cual a priori hace mas dificil adivinar qué ransomware es el causante, si bien cabe indicar que en la pantalla informadora del "secuestro" viene a ser parecida a la que ya conociamos, y que pasamos a detectar al .js que contiene el downloader del mismo, (es del tipo NEMUCOD) como "CRYPTOLOCKER .xxxxxx DLDR", y al .EXE que descarga, lo mismo sin el DLDR, claro. Es importante señalar que el SITE ADVISOR de McAfee ya intercepta el acceso a la web de de descarga, avisando que es peligrosa, por lo que el usuario ya sabe que es arriesgado acceder a ella... http://gkr.ricerca-spedizioni38.com... El preanalisis de virustotal del .js, ofrece el siguiente informe: MD5 6ed9176e8905dd1c9398692318793e81 SHA1 a6c3dee952c602330163e74fe9b65abbb0d1f885 File size 21.7 KB ( 22247 bytes ) SHA256: 3feede9bd78727640a6f0c1b1632745e34ed2cdc092c7e801e79f0400ab389c5 File name: pacchetto_39728(01).js Detection ratio: 29 / 54 Analysis date: 2016-12-07 08:46:37 UTC ( 14 minutes ago ) 0 3 Antivirus Result Update AVG Downloader.Generic_c.ANKH 20161207 Ad-Aware JS:Trojan.JS.Downloader.HFT 20161207 AegisLab Troj.Script.Agent!c 20161207 Antiy-AVL Trojan/Generic.ASVCS3S.429 20161207 Arcabit JS:Trojan.JS.Downloader.HFT 20161207 Avira (no cloud) JS/Dldr.Locky.72323 20161206 Baidu JS.Trojan-Downloader.Nemucod.pr 20161207 BitDefender JS:Trojan.JS.Downloader.HFT 20161207 CAT-QuickHeal JS.Nemucod.AQR 20161207 Cyren JS/Locky.BH!Eldorado 20161207 ESET-NOD32 JS/TrojanDownloader.Nemucod.BSH 20161207 Emsisoft Trojan.Nemucod (A) 20161207 F-Prot JS/Locky.BH!Eldorado 20161207 F-Secure JS:Trojan.JS.Downloader.HFT 20161207 Fortinet JS/Nemucod.BSH!tr.dldr 20161207 GData JS:Trojan.JS.Downloader.HFT 20161207 Ikarus Trojan-Downloader.JS.Nemucod 20161206 Kaspersky HEUR:Trojan.Script.Agent.gen 20161207 McAfee JS/Nemucod.kz 20161205 McAfee-GW-Edition JS/Nemucod.kz 20161207 eScan JS:Trojan.JS.Downloader.HFT 20161207 Microsoft TrojanDownloader:JS/Nemucod!rfn 20161207 Qihoo-360 virus.js.gen.1 20161207 Rising Downloader.Nemucod!8.34 (topis) 20161207 Sophos JS/DwnLdr-QHY 20161207 Symantec JS.Downloader 20161207 TrendMicro JS_LOCKY.SMDA6 20161207 TrendMicro-HouseCall JS_DLOADR.YYSQH 20161207 ViRobot JS.S.Downloader.22247 20161207 y el .EXE descargado, aun no lo controlan ni MCAfee ni Kaspersky, por lo que les enviamos muestra para que añadan su control en las proximas versiones de sus AV. El preanalisis de virustotal de dicho .EXE, ofrece el siguiente informe: MD5 da1b07c8f578b2c70d775c4d4cb47253 SHA1 1a5d8ce860d067499ed85f86190bb267cfa41948 File size 425.3 KB ( 435460 bytes ) SHA256: a7bffd6454b5e2f815c1e52273ccf01b0ca749999db2f241c69eee7c508eb8b2 File name: etymawep.exe Detection ratio: 9 / 57 Analysis date: 2016-12-07 09:09:27 UTC ( 5 minutes ago ) 0 1 Antivirus Result Update Avast Win32:Malware-gen 20161207 Avira (no cloud) TR/AD.Teerac.zeagj 20161206 Baidu Win32.Trojan.WisdomEyes.16070401.9500.9767 20161207 CrowdStrike Falcon (ML) malicious_confidence_89% (D) 20161024 ESET-NOD32 Win32/Filecoder.TorrentLocker.A 20161207 Invincea worm.win32.secrar.a 20161202 McAfee-GW-Edition BehavesLike.Win32.Downloader.gc 20161207 Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20161207 Symantec Heur.AdvML.B 20161207 Dicha versión del ELISTARA 35.76 que lo detecta y elimina, ya está disponible en nuestra web saludos ms, 7-12-2016 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |