Inicio de zonavirus, antivirus

NUEVA VARIANTE DE CRYPTOLOCKER QUE LLEGA ANEXADO A UN MAIL CON PHISHING, PERO CAMBIA EL AÑADIDO EN LOS CIFRADOS POR .xxxxxx

msc hotline sat
Wednesday, December 7, 2016

Si bien estabamos acostumbrados en reconocer las infecciones del Cryptolocker por añadir a los ficheros cifrados la extension .encrypted, O .enc, ahora nos llega una nueva saga que solo añade .xxxxxx, lo cual a priori hace mas dificil adivinar qué ransomware es el causante, si bien cabe indicar que en la pantalla informadora del "secuestro" viene a ser parecida a la que ya conociamos, y que pasamos a detectar al .js que contiene el downloader del mismo, (es del tipo NEMUCOD) como "CRYPTOLOCKER .xxxxxx DLDR", y al .EXE que descarga, lo mismo sin el DLDR, claro.



Es importante señalar que el SITE ADVISOR de McAfee ya intercepta el acceso a la web de de descarga, avisando que es peligrosa, por lo que el usuario ya sabe que es arriesgado acceder a ella...



http://gkr.ricerca-spedizioni38.com...





El preanalisis de virustotal del .js, ofrece el siguiente informe:





MD5 6ed9176e8905dd1c9398692318793e81

SHA1 a6c3dee952c602330163e74fe9b65abbb0d1f885

File size 21.7 KB ( 22247 bytes )

SHA256: 3feede9bd78727640a6f0c1b1632745e34ed2cdc092c7e801e79f0400ab389c5

File name: pacchetto_39728(01).js

Detection ratio: 29 / 54

Analysis date: 2016-12-07 08:46:37 UTC ( 14 minutes ago )

0

3



Antivirus Result Update

AVG Downloader.Generic_c.ANKH 20161207

Ad-Aware JS:Trojan.JS.Downloader.HFT 20161207

AegisLab Troj.Script.Agent!c 20161207

Antiy-AVL Trojan/Generic.ASVCS3S.429 20161207

Arcabit JS:Trojan.JS.Downloader.HFT 20161207

Avira (no cloud) JS/Dldr.Locky.72323 20161206

Baidu JS.Trojan-Downloader.Nemucod.pr 20161207

BitDefender JS:Trojan.JS.Downloader.HFT 20161207

CAT-QuickHeal JS.Nemucod.AQR 20161207

Cyren JS/Locky.BH!Eldorado 20161207

ESET-NOD32 JS/TrojanDownloader.Nemucod.BSH 20161207

Emsisoft Trojan.Nemucod (A) 20161207

F-Prot JS/Locky.BH!Eldorado 20161207

F-Secure JS:Trojan.JS.Downloader.HFT 20161207

Fortinet JS/Nemucod.BSH!tr.dldr 20161207

GData JS:Trojan.JS.Downloader.HFT 20161207

Ikarus Trojan-Downloader.JS.Nemucod 20161206

Kaspersky HEUR:Trojan.Script.Agent.gen 20161207

McAfee JS/Nemucod.kz 20161205

McAfee-GW-Edition JS/Nemucod.kz 20161207

eScan JS:Trojan.JS.Downloader.HFT 20161207

Microsoft TrojanDownloader:JS/Nemucod!rfn 20161207

Qihoo-360 virus.js.gen.1 20161207

Rising Downloader.Nemucod!8.34 (topis) 20161207

Sophos JS/DwnLdr-QHY 20161207

Symantec JS.Downloader 20161207

TrendMicro JS_LOCKY.SMDA6 20161207

TrendMicro-HouseCall JS_DLOADR.YYSQH 20161207

ViRobot JS.S.Downloader.22247 20161207



y el .EXE descargado, aun no lo controlan ni MCAfee ni Kaspersky, por lo que les enviamos muestra para que añadan su control en las proximas versiones de sus AV.



El preanalisis de virustotal de dicho .EXE, ofrece el siguiente informe:



MD5 da1b07c8f578b2c70d775c4d4cb47253

SHA1 1a5d8ce860d067499ed85f86190bb267cfa41948

File size 425.3 KB ( 435460 bytes )

SHA256: a7bffd6454b5e2f815c1e52273ccf01b0ca749999db2f241c69eee7c508eb8b2

File name: etymawep.exe

Detection ratio: 9 / 57

Analysis date: 2016-12-07 09:09:27 UTC ( 5 minutes ago )

0

1



Antivirus Result Update

Avast Win32:Malware-gen 20161207

Avira (no cloud) TR/AD.Teerac.zeagj 20161206

Baidu Win32.Trojan.WisdomEyes.16070401.9500.9767 20161207

CrowdStrike Falcon (ML) malicious_confidence_89% (D) 20161024

ESET-NOD32 Win32/Filecoder.TorrentLocker.A 20161207

Invincea worm.win32.secrar.a 20161202

McAfee-GW-Edition BehavesLike.Win32.Downloader.gc 20161207

Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20161207

Symantec Heur.AdvML.B 20161207



Dicha versión del ELISTARA 35.76 que lo detecta y elimina, ya está disponible en nuestra web



saludos



ms, 7-12-2016

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto