NUEVAS VARIANTES DEL RANSOMWARE CRYPTOLOCKER RECIBIDOS EN FALSOS MAILS DE CORREOSmsc hotline sat Friday, May 6, 2016 NUEVAS VARIANTES DEL RANSOMWARE CRYPTOLOCKER RECIBIDOS EN FALSOS MAILS DE CORREOS Como tantas otras veces, se están recibiendo mails masivos con la típica falsa carta de Correos con enlaces (tanto en la primera parte, para información del usuario, (Descargar información sobre su envío), como al final, para darse de baja (Haga clic aquí para darse de baja.) maliciosos: http://poprockfm.com/.... que en este caso utilizan un site de Iomart Hosting Limited de UK, donde se ejecuta un php que reenvia a una página donde hay que rellenar el típico Captcha "22558" Ello descarga un ZIP que contiene un JS: "informacion_13219.zip" -> informacion_13219.js" y al ejecutar este último, descarga desde un servidor sito en Rusia: País Russian Federation Ciudad Cheboksary Latitud 56.13219833374 Longitud 47.251899719238 ISP OOO NPO Relcom y ejecuta, el instalador del CRYPTOLOCKER TORRENT: .../hideme/output/1.exe De ellos ya hemos recibido dos de diferentes, cuyo ejecutable EXE final vuelve a tener icono de carpeta, a diferencia de los últimos recibidos que tenían icono de instalación. Ofrecemos el preanalisis de virustotal del JS inicial de uno de ellos, que pasaremos a controlar como CRYPTOLOCKER DLDR (downloader): MD5 7d1673f40bff0e403ed94a941596a608 SHA1 1699658e42438f8966cb82885b00513fc73cfc87 Tamaño del fichero 7.7 KB ( 7922 bytes ) SHA256: 4ba28e0bc9c1f1fd71f6044e4bf6a157c492df072d559e8cd3efe4d65227b9af Nombre: informacion_13219.js Detecciones: 5 / 56 Fecha de análisis: 2016-05-06 09:58:18 UTC ( hace 0 minutos ) 0 1 Antivirus Resultado Actualización Arcabit HEUR.JS.Trojan.ba 20160506 Cyren JS/Locky.W!Eldorado 20160506 ESET-NOD32 JS/TrojanDownloader.Nemucod.WA 20160506 F-Prot JS/Locky.W!Eldorado 20160506 Rising Downloader.Nemucod!8.34-1CS95kld8lT (Cloud) 20160506 fijarse que hay quien le llama Locky, por confundirse con este otro ransomware que realiza el proceso de descarga de forma similar, pero si descarga el Cryptolocker, mas vale llamarle por su nombre. y el EXE que instala, propiamente ransomware: MD5 bc44629c3596e922a8fa51d4ca58996c SHA1 dff7a0a36a2bad03010743ac113da0355d330ddc Tamaño del fichero 448.0 KB ( 458752 bytes ) SHA256: d201e9b2a33f06a0f9b8f15b0dba810c1358f2e670b97776ca423f44a2044896 Nombre: ukewtcuc.exe Detecciones: 28 / 55 Fecha de análisis: 2016-05-06 10:11:22 UTC ( hace 3 minutos ) 0 1 Antivirus Resultado Actualización AVG Ransomer.LFK 20160506 AVware Trojan.Win32.Generic!BT 20160506 Ad-Aware Trojan.GenericKD.3208682 20160506 AhnLab-V3 Backdoor/Win32.Androm 20160505 Antiy-AVL Trojan/Win32.Androm 20160506 Arcabit Trojan.Generic.D30F5EA 20160506 Avast Win32:Trojan-gen 20160506 Avira (no cloud) TR/Crypt.ZPACK.sbey 20160506 BitDefender Trojan.GenericKD.3208682 20160506 DrWeb Trojan.Encoder.4471 20160506 ESET-NOD32 Win32/Filecoder.TorrentLocker.A 20160506 F-Secure Trojan.GenericKD.3208682 20160506 GData Trojan.GenericKD.3208682 20160506 Ikarus Trojan.Win32.Filecoder 20160506 K7AntiVirus Trojan ( 004e24c81 ) 20160506 K7GW Trojan ( 004e24c81 ) 20160506 Kaspersky Backdoor.Win32.Androm.jpjj 20160506 Malwarebytes Trojan.Crypt 20160506 McAfee Artemis!BC44629C3596 20160506 McAfee-GW-Edition BehavesLike.Win32.PWSZbot.gh 20160505 eScan Trojan.GenericKD.3208682 20160506 Panda Trj/GdSda.A 20160505 Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160506 Rising Malware.XPACK-HIE/Heur!1.9C48 20160506 Sophos Mal/Generic-S 20160506 TrendMicro Ransom_CRILOCK.CBQ1655 20160506 TrendMicro-HouseCall Ransom_CRILOCK.CBQ1655 20160506 VIPRE Trojan.Win32.Generic!BT 20160506 Los EXE descargados, que persisten tras reiniciar el ordenador y volverían a cifrar ficheros, pasan a ser detectados y eliminados, al igual que el JS que los descarga, a partir del ELISTARA 34.50, y si son posteriores y aun no los conocemos, se deben localizar en el informe que genera el SPROCES y proceder a controlarlos, debiendo eliminar el e-mail de autos asi como el JS aparecido al desempaquetar el ZIP, para que no se pueda volver a ejecutar algun dia, lo cual deberá hacer manualmente el usuario, que sabrá donde ha guardado dicho JS. Si nos envian el JS y el EXE en cuestión, los pasaremos a controlar especificamente en la siguiente version del ELISTARA. Parece que hayan querido imitar el proceso del LOCKY, por el JS descargador, lástima que no desaparezca el fichero ransomware como pasa en el LOCKY, una diferencia que obliga a conocer la variante para controlarla y eliminarla, pues de lo contrario volvería a las andadas ! Dicha versión del ELISTARA 34.50 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy. saludos ms, 6-5-2016 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |