EMERGENCIA CRYPTOLOCKER: MUCHO CUIDADO CON LOS MAILS QUE LLEVAN FICHERO ANEXADO ZIP, CUYO CONTENIDO ES UN FICHERO CON DOBLE EXTENSION, *.PDF.EXE

Se están recibiendo mails masivos, incluso en castellano, que anexan enlace para descarga de fichero ZIP que contiene un ejecutable (*.PDF.EXE) que infecta con el CRYPTOLOCKER, cifrando los ficheros de datos, como ya es típico de este virus !

Por ejemplo:

Enviado el: jueves, 11 de diciembre de 2014 3:53
Para: <destinatario>
Asunto: Re: La informacion sobre el calculo. UbRm6wc7m
Hi, <destinatario>
Informacion para los calculos se puede descargar en:
http://<site de descarga malicioso>/Order/Shipment.zip?438976
Recordatorio: no es para el flujo oportuno de los fondos, la pena que usted paga!

o este otro:

Asunto: Re: Informacion de la cuenta. NUxu2PD8SE
De: <falso remitente> (SPOOFING)
Fecha: 11/12/2014 06:15
Para: <destinatario>

La factura debe pagarse antes del final de la semana! Detalles de descarga en:
http://<site de descarga malicioso>/Order/Order.zip?9381259

id:218595991580

Sobre todo NO EJECUTAR NINGUN FICHERO QUE PROCEDA DE ZIP RECIBIDOS EN MAILS NO SOLICITADOS !!!

Es un continuo la cantidad de nuevas variantes de dicho malware que van llegandonos, y que pasamos a controlar con las nuevas versiones del ELISTARA, y que aun no conocen la inmensa mayoría de antivirus, ni siquiera heuristicamente…

De uno de los que nos ha llegado esta mañana, el preanalisis de viristotal ofrece este informe:

MD5 de5f3a0c296f490baf2497d1dd78bfdb
SHA1 1b233a6f5c9906283db4e33e094a1d906aeab1f3
Tamaño del fichero 406.0 KB ( 415744 bytes )
SHA256: c72e41cc44c80f31418cf46a9ad472a4a238d05a2cce95e9be5614b7a95316ea
Nombre: ecumxsod.exe
Detecciones: 2 / 56
Fecha de análisis: 2014-12-11 09:53:21 UTC ( hace 43 minutos )

0 1

Antivirus Resultado Actualización
Malwarebytes Trojan.Agent.ED 20141211
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141211

o este otro informe, tambien con muy pocas detecciones:

MD5 3f4e9280f7676a7fce3ddcedd64888d7
SHA1 4aafb71724316d825eb5683fc24de6402a325b6b
Tamaño del fichero 141.5 KB ( 144896 bytes )
SHA256: 22ef65697339c72390cf74d97b2a340255524ab7d7da9d9425b4af74717d3d02
Nombre: Payment_Pdf______________________________________________________…
Detecciones: 3 / 56
Fecha de análisis: 2014-12-11 11:09:26 UTC ( hace 9 minutos )

0 1

Antivirus Resultado Actualización
ESET-NOD32 a variant of Win32/Kryptik.CSQK 20141211
Kaspersky UDS:DangerousObject.Multi.Generic 20141211
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141211

Y como estos hemos añadido varios nuevos, al ELISTARA 31.21 que subiremos a nuestra web en plan de emergencia, al final de esta mañana.
Es una avalancha como la de hace una semana, para la que tambien tuvimos que hacer una version de emergencia del ELISTARA.

Al menos con este aviso, y el ELISTARA 31.21 se podrá evitar y eliminar estas ultimas variantes, aunque ya se sabe que dado el ritmo de aparición, ya están apareciendo otras que solo el buen criterio del usuario NO EJECUTANDO DICHOS FICHEROS , podrá evitar la infección y consecuente codificación de los ficheros de datos …

SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO
saludos

ms, 11-12-2014