 |
||
PUES AHI VAN LOS TRES RANSOMWARES CRYPTOLOCKER INSTALADOS POR DOWNLOADERS NEMUCOD DEL MAIL AL DROPBOXmsc hotline sat Monday, February 27, 2017 Como informabamos en anterior Noticia, esta mañana llegaban varios mails apuntando a links de descargas de ficheros ZIP del DROPBOX, que descargaban ficheros .js, los cuales vimos que se trataba de downloaders NEMUCOD y asi los pasamos a controlar Pero esto no es todo, ya que estos NEMUCOD, que descargan cualquier malware que tengan asignado, van a fastidiar de lo lindo al cifrar todos los ficheros de datos con el RANSOMWARE CRYPTOLOCKER que tristemente conocemos como uno de los peores (junto con el CERBER 4 y el LOCKY OSIRIS y demás parientes) ransomwares que afectan a los usuarios que abren ficheros adjuntos a mails no solicitados, y si encima no tienen actualizada la copia de seguridad, aparte de poder saber la claves de lanzamiento y el fichero culpable con nuestro CLRANSOM.EXE y poder, arrancando en MODO SEGURO, eliminar clave y fichero ( a ser posible guardando una copia del mismo para poder controlarlo si es diferente de los que hoy ya pasamos a controlar con el ELISTARA 36.31) para luego restaurar los datos, una vez reiniciado el sistema sin virus, y poder restaurar los datos de la copia de seguridad. Y aunque no sabemos si esta variante, con extensiones de ficheros cifrados aleatorias, va a ser posible ser descifrados como lo hacían los del CERT (ver información de la OSI en nuestro blog, en http://www.satinfo.es/blog/2016/muy-importante-descifrado-de-ficheros-cifrados-por-ransomwares-especialmente-con-el-cryptolocker-del-falso-mail-de-endesa/ ) recordamos que han colaborado muy satisfactoriamente dichos servicios para anteriores descifrados de varsiones anteriores de los dichosos CRYPTOLOCKER. -Habrá que ver si esta nueva variante tambien logran descifrarla con tanto exito, esperemos que sí ! - Con todo lo indicado, ahora estamos monitorizando y pasando a analizar los ficheros que han causado el estropicio, y ofrecemos los MD5 correspondientes a los tres primeros que nos generaron los .js de los NEMUCOD en cuestion: "BE17BE0971F94CE5307B9E610AE4BA62" -> kjapsvuf.exe 378367 "C262231FE30B3C1E14DF620507E8DFAC" -> yceqokuf.exe 343977 "AED4F9383D41AD8C8C2516CD73B39EC9" -> ydyczmyx.exe 381206 Y el preanalisis de VIRUSTOTAL del último de ellos, ofrece actualmente el siguiente informe: MD5 aed4f9383d41ad8c8c2516cd73b39ec9 SHA1 4a35a9810fe7458b3a14196a97734e6c66eaa94d Tamaño del fichero 372.3 KB ( 381206 bytes ) SHA256: de856173721e92756677aa13a3dae7e109461d9331518345832da4e90d4f54d0 Nombre: ydyczmyx.exe Detecciones: 9 / 59 Fecha de análisis: 2017-02-27 15:39:38 UTC ( hace 1 minuto ) https://www.virustotal.com/es/file/de856173721e92756677aa13a3dae7e109461d9331518345832da4e90d4f54d0/analysis/1488209978/ Dicha versión del ELISTARA 36.31 que los detecta y elimina, estará disponible con caracter de urgencia en nuestra web a partir de las 18 horas de hoy. saludos ms, 27-2-2017 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|