CONSIDERACIONES SOBRE NUEVA VARIANTE DE CRYPTOLOCKER QUE LLEGA POR DESCARGA DE UNA MACRO DE UN DOC O POR ENLACE A UN ZIP QUE CONTIENE EL MISMO EXE MALICIOSO

Ya ayer avisabamos de la llegada de mails maliciosos, bien a traves de un DOC con una macro que descargaba un EXE, o bien con otro mail que ofrecía un enlace a un ZIP que contenía el mismo EXE, que resultaba ser una nueva variante de CRYPTOLOCKER, que ya controlamos con el ELISTARA 31.00 actualmente disponible en nuestra web

En el primer caso, el DOC con la macro maliciosa (downloader) actualmente la detectan ya 10 AV de 55, a saber:

MD5 c500489d28e0abe265dfb5812c9a96c9
SHA1 81d25cfbe4b2372363dd6e37a4c9aa8021aa36b4
Tamaño del fichero 199.5 KB ( 204288 bytes )
SHA256: acf73ebdf2e4c846d7d90a7da3ff8c13357d7c0b919be2e1c3ccc3bd9da7cf29
Nombre: Processing1011201423.doc
Detecciones: 10 / 55
Fecha de análisis: 2014-11-13 08:19:53 UTC ( hace 0 minutos )

0 1
Antivirus Resultado Actualización
CAT-QuickHeal W97M.Dropper.AK 20141113
ESET-NOD32 VBA/TrojanDownloader.Agent.CX 20141113
Ikarus Trojan-Downloader.VBA.Agent 20141113
Kaspersky Trojan-Downloader.MSWord.Agent.cr 20141113
McAfee W97M/Downloader.ab 20141113
McAfee-GW-Edition W97M/Downloader.ab 20141113
Microsoft TrojanDownloader:W97M/Donoff 20141113
Sophos Troj/DocDl-AX 20141113
TrendMicro TROJ_MDLOAD.PGUJ 20141113
TrendMicro-HouseCall TROJ_MDLOAD.PGUJ 20141113

 

y el fichero descargado, que resultó ser un Cryptolocker.Torrent, hoy el mismo virustotal reporta ya 27 detecciones:

MD5 cb607388d6b05dcf0d77fd06f563511d
SHA1 85717a638f5a3cc62b2f5e25897fcee997f35070
Tamaño del fichero 494.0 KB ( 505856 bytes )
SHA256: 8a375f861957b7effcda03ba43720d5bc14eeea97a33475a78b904714283d04e
Nombre: ibidevis.exe
Detecciones: 27 / 55
Fecha de análisis: 2014-11-13 08:21:56 UTC ( hace 0 minutos )

0 6
Antivirus Resultado Actualización
Ad-Aware Trojan.GenericKD.1970101 20141113
AhnLab-V3 Spyware/Win32.Zbot 20141112
Avast Win32:Malware-gen 20141113
Avira TR/Dropper.A.31965 20141113
Baidu-International Trojan.Win32.Filecoder.bDI 20141107
BitDefender Trojan.GenericKD.1970101 20141113
ByteHero Trojan.Malware.Obscu.Gen.006 20141113
Cyren W32/Trojan.XXIV-5521 20141113
DrWeb Trojan.Encoder.761 20141113
ESET-NOD32 Win32/Filecoder.DI 20141113
Emsisoft Trojan.Win32.FileCoder (A) 20141113
F-Secure Trojan.GenericKD.1970101 20141113
Fortinet W32/Inject.DI!tr 20141113
GData Trojan.GenericKD.1970101 20141113
Ikarus Trojan-Ransom.CryptoWall 20141113
Kaspersky Trojan.Win32.Inject.sbed 20141113
Malwarebytes Trojan.Ransom.FC 20141113
McAfee Artemis!CB607388D6B0 20141113
McAfee-GW-Edition BehavesLike.Win32.BadFile.gh 20141113
MicroWorld-eScan Trojan.GenericKD.1970101 20141113
Norman ZBot.XAOI 20141112
Panda Trj/Zbot.M 20141110
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141113
Sophos Mal/Generic-S 20141113
Symantec Trojan.Cryptolocker.E 20141113
TrendMicro TROJ_CRYPLOCK.YJS 20141113
TrendMicro-HouseCall TROJ_CRYPLOCK.YJS 20141113

Con lo cual vemos que Kaspersky ya los controla, tanto el fichero con macro maliciosa que descargaba el EXE y propagaba el mail con el DOC downloader (Kaspersky Trojan-Downloader.MSWord.Agent.cr 20141113), como el EXE que descarga la ejecución de las macros de dicho DOC (Kaspersky Trojan.Win32.Inject.sbed 20141113)

Curiosamente McAfee, que nos ha reportado un extenso documento de analisis de esta nueva variante de Cryptolocker (ver PDF en ingles en http://app.snssecure.mcafee.com/e/er?s=3106&lid=2855&elq=9ab5da4751e2470cb04d8d943a8dcf92, que ya detectaba el DOC como McAfee W97M/Downloader.ab, sigue detectando solo con la heuristica avanzada de su motor Artemis, el EXE con el Cryptolocker, como McAfee Artemis!CB607388D6B0 20141113, por lo que seguimos recomendando que se configure a nivel ALTO la sensibilidad heuristica tanto del VirusScan residente como del escaneador, ya que este virus persiste aun tras codificar los ficheros, y especialmente si se ha sufrido el ataque, conviene eliminar el malware para que no repita el cifrado, antes de reponer los ficheros desde la copia de seguridad, ya que esta version elimina las copias realizadas por el ShadowCopy, recurso que cabía utilizar en los primeros Cryptolockers, pero que desde la variante Cryptowall ya elimina dicha posibilidad.

Mucho cuidado con este nuevo ataque de Cryptolocker, que llega por mail, bien en un fichero DOC con macro que lo descarga, como directamente en un EXE que se extrae del ZIP que ofrece el enlace, segun indicamos en las dos noticias de ayer de dicho malware:

NUEVO CRYPTOLOCKER DE AYER RECIBIDO POR MAIL CON ENLACE MALICIOSO A ZIP QUE CONTIENE EL EXE MALICIOSO:

tolockers-en-ficheros-descargados-de-enlace-de-mail-masivo/

EL MISMO CRYPTOLOCKER PERO DESCARGADO A TRAVES DE UN DOC CON MACRO MALICIOSA:

https://blog.satinfo.es/2014/empiezan-a-proliferar-los-mails-anexando-de-nuevo-virus-de-macro/

 

ESPECIALMENTE PARA USUARIOS DE MCAFEE, ver:

 https://blog.satinfo.es/2014/55405/

 

ESPECIALMENTE PARA USUARIOS DE KASPERSKY, ver:

tolocker-cryptowall-cryptorbit-cryptolocker-torrent-etc/”>https://blog.satinfo.es/2014/proteccion-contra-la-plaga-actual-de-variantes-de-ransomwares-crypto-variantes-de-cryptolocker-cryptowall-cryptorbit-cryptolocker-torrent-etc/

 

Y EN GENERAL, SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.
saludos

ms, 13-11-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies