Lo mas importante del nuevo RANSOMWARE LOCKY DIABLO6 que está atacando masivamente.msc hotline sat Friday, August 11, 2017 Como que al parecer, hasta nosotros recibimos ayer mails anexando ZIP que instalaba dicho nuevo ransomware, ya que un posible ejemplo de ello es lo que indicabamos ayer en https://blog.satinfo.es/2017/otro-mail-con-anexado-malicioso-pero-aparentando-anexar-fichero-docx-segun-el-asunto/ Los correos contienen líneas similares a: E (fecha) (número random).docx. Por ejemplo podría ser: E 2017-08-10(649).docx. En el cuerpo del mensaje simplemente indica “Archivos adjuntos. Gracias”. Que, de entrada, el ZIP contiene un VBS que descarga un DOWNLOADER NEMUCOD, el cual puede muy bien descargar e instalar esta nueva variante de LOCKY DIABLO6 Estos correos electrónicos tienen un archivo ZIP adjunto que utilizan el mismo nombre que la línea de asunto, que contiene una secuencia de comandos de descarga de VBS. Este script contendrá una o más URL que utilizará el script para descargar el ejecutable de ransomware de Locky a la carpeta Temp y luego ejecutarlo. Cuando Locky haya terminado de cifrar el ordenador, eliminará el ejecutable descargado y luego mostrará una nota de rescate que proporcione información sobre cómo pagar. Los nombres de estas notas de rescate han cambiado para esta versión a diablo6- .htm. El fondo de pantalla presenta una imagen con este texto: https://pbs.twimg.com/media/DG1Jw2qUIAE2I-U.jpg También hace entradas en el registro de Windows para lograr un mayor nivel de persistencia. Las entradas del registro de ese calibre se diseñan típicamente para iniciar el virus automáticamente con cada lanzamiento del sistema operativo Windows o incluso reprimir y manipular los procesos. Aparte de recordar que NUNCA SE DEBEN EJECUTAR LOS FICHEROS ANEXADOS A MAILS NO SOLICITADOS, NI EN SUS IMAGENES NI ENLACES …, conviene tener en cuenta la conveniencia de disponer de COPIA DE SEGURIDAD ACTUALIZADA fuera del alcance de estos malwares, recomendando hacerlo en una unidad externa NO COMPARTIDA. Esperamos que siguiendo estas indicaciones no se verán afectados, pero si es el caso, recordar que, a diferencia de los anteriores LOCKY que se autoborraban y no se lanzaban en el siguiente reinicio, estos parece que están diseñados "para iniciar el virus automáticamente con cada lanzamiento del sistema operativo Windows o incluso reprimir y manipular los procesos", o sea que antes de restaurar los ficheros afectados, deben eliminarse los restos del malware, en el registro o donde esté, para evitar que vuelva a activarse y vuelva a las andadas... saludos ms, 11-8-2017 NOTA: Tanto Kaspersky como McAfee ya detectan esta nueva variante, segun se puede ver hoy en el analisis de viristotal de la muestra recibida, pero caben esperar nuevas variantes, por lo que hay que ir con mucho cuidado !!! Kaspersky HEUR:Trojan-Downloader.Script.Generic 20170811 McAfee VBS/Downloader.ga 20170811 Informe actual global de virustotal https://www.virustotal.com/es/file/5f7e5073b630886d70c579ee0ace0eb298b93349d7d9d8805a355f0e154732b4/analysis/1502440580/ ms. |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |