NUEVAS VARIANTES DEL RANSOMWARE CRYPTOLOCKER RECIBIDOS EN FALSOS MAILS DE CORREOS

---

NUEVAS VARIANTES DEL RANSOMWARE CRYPTOLOCKER RECIBIDOS EN FALSOS MAILS DE CORREOS



Como tantas otras veces, se están recibiendo mails masivos con la típica falsa carta de Correos con enlaces (tanto en la primera parte, para información del usuario, (Descargar información sobre su envío), como al final, para darse de baja (Haga clic aquí­ para darse de baja.) maliciosos:



http://poprockfm.com/....



que en este caso utilizan un site de Iomart Hosting Limited de UK, donde se ejecuta un php que reenvia a una página donde hay que rellenar el típico Captcha "22558"



Ello descarga un ZIP que contiene un JS:



"informacion_13219.zip" -> informacion_13219.js"





y al ejecutar este último, descarga desde un servidor sito en Rusia:



País Russian Federation

Ciudad Cheboksary

Latitud 56.13219833374

Longitud 47.251899719238

ISP OOO NPO Relcom



y ejecuta, el instalador del CRYPTOLOCKER TORRENT:





.../hideme/output/1.exe





De ellos ya hemos recibido dos de diferentes, cuyo ejecutable EXE final vuelve a tener icono de carpeta, a diferencia de los últimos recibidos que tenían icono de instalación.







Ofrecemos el preanalisis de virustotal del JS inicial de uno de ellos, que pasaremos a controlar como CRYPTOLOCKER DLDR (downloader):





MD5 7d1673f40bff0e403ed94a941596a608

SHA1 1699658e42438f8966cb82885b00513fc73cfc87

Tamaño del fichero 7.7 KB ( 7922 bytes )

SHA256: 4ba28e0bc9c1f1fd71f6044e4bf6a157c492df072d559e8cd3efe4d65227b9af

Nombre: informacion_13219.js

Detecciones: 5 / 56

Fecha de análisis: 2016-05-06 09:58:18 UTC ( hace 0 minutos )

0 1



Antivirus Resultado Actualización

Arcabit HEUR.JS.Trojan.ba 20160506

Cyren JS/Locky.W!Eldorado 20160506

ESET-NOD32 JS/TrojanDownloader.Nemucod.WA 20160506

F-Prot JS/Locky.W!Eldorado 20160506

Rising Downloader.Nemucod!8.34-1CS95kld8lT (Cloud) 20160506





fijarse que hay quien le llama Locky, por confundirse con este otro ransomware que realiza el proceso de descarga de forma similar, pero si descarga el Cryptolocker, mas vale llamarle por su nombre.



y el EXE que instala, propiamente ransomware:





MD5 bc44629c3596e922a8fa51d4ca58996c

SHA1 dff7a0a36a2bad03010743ac113da0355d330ddc

Tamaño del fichero 448.0 KB ( 458752 bytes )

SHA256: d201e9b2a33f06a0f9b8f15b0dba810c1358f2e670b97776ca423f44a2044896

Nombre: ukewtcuc.exe

Detecciones: 28 / 55

Fecha de análisis: 2016-05-06 10:11:22 UTC ( hace 3 minutos )

0 1



Antivirus Resultado Actualización

AVG Ransomer.LFK 20160506

AVware Trojan.Win32.Generic!BT 20160506

Ad-Aware Trojan.GenericKD.3208682 20160506

AhnLab-V3 Backdoor/Win32.Androm 20160505

Antiy-AVL Trojan/Win32.Androm 20160506

Arcabit Trojan.Generic.D30F5EA 20160506

Avast Win32:Trojan-gen 20160506

Avira (no cloud) TR/Crypt.ZPACK.sbey 20160506

BitDefender Trojan.GenericKD.3208682 20160506

DrWeb Trojan.Encoder.4471 20160506

ESET-NOD32 Win32/Filecoder.TorrentLocker.A 20160506

F-Secure Trojan.GenericKD.3208682 20160506

GData Trojan.GenericKD.3208682 20160506

Ikarus Trojan.Win32.Filecoder 20160506

K7AntiVirus Trojan ( 004e24c81 ) 20160506

K7GW Trojan ( 004e24c81 ) 20160506

Kaspersky Backdoor.Win32.Androm.jpjj 20160506

Malwarebytes Trojan.Crypt 20160506

McAfee Artemis!BC44629C3596 20160506

McAfee-GW-Edition BehavesLike.Win32.PWSZbot.gh 20160505

eScan Trojan.GenericKD.3208682 20160506

Panda Trj/GdSda.A 20160505

Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160506

Rising Malware.XPACK-HIE/Heur!1.9C48 20160506

Sophos Mal/Generic-S 20160506

TrendMicro Ransom_CRILOCK.CBQ1655 20160506

TrendMicro-HouseCall Ransom_CRILOCK.CBQ1655 20160506

VIPRE Trojan.Win32.Generic!BT 20160506



Los EXE descargados, que persisten tras reiniciar el ordenador y volverían a cifrar ficheros, pasan a ser detectados y eliminados, al igual que el JS que los descarga, a partir del ELISTARA 34.50, y si son posteriores y aun no los conocemos, se deben localizar en el informe que genera el SPROCES y proceder a controlarlos, debiendo eliminar el e-mail de autos asi como el JS aparecido al desempaquetar el ZIP, para que no se pueda volver a ejecutar algun dia, lo cual deberá hacer manualmente el usuario, que sabrá donde ha guardado dicho JS. Si nos envian el JS y el EXE en cuestión, los pasaremos a controlar especificamente en la siguiente version del ELISTARA.





Parece que hayan querido imitar el proceso del LOCKY, por el JS descargador, lástima que no desaparezca el fichero ransomware como pasa en el LOCKY, una diferencia que obliga a conocer la variante para controlarla y eliminarla, pues de lo contrario volvería a las andadas !



Dicha versión del ELISTARA 34.50 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy.





saludos



ms, 6-5-2016