MAS MAILS MASIVOS maliciosos (spam) QUE DESCARGAN NUEVAS VARIANTES DE CRYPTOLOCKER

Publicado el 16 octubre 2014 ¬ 11:37 amh.mscComentarios desactivados en MAS MAILS MASIVOS maliciosos (spam) QUE DESCARGAN NUEVAS VARIANTES DE CRYPTOLOCKER

Parece ser que los del CRYPTOLOCKER han activado de nuevo la proliferación de mails maliciosos que descargan nuevas variantes de su tan dañino ransomware

Aparte del que acabamos de publicar en la primera noticia de hoy, nos llegan nuevas muestras que se descargan de otros mails con texto similar a:

MAIL MALICIOSO
______________

Asuumpte Factura id268056

De Renata <Sean.Mallen@dezrez.com>

Data 15/10/2014 3:33

A: “undisclosed-recipients

Hola.

Querido consumidor le informamos de que no hemos recibido respuesta alguna a la factura que le hemos facilitado anteriormente , si por cualquier razГіn no la recibiГі o no tuvo oportunidad de conocerla se la adjuntamos en el siguiente archivo.
http://<web maliciosa>/Transazione.zip?ykGrY

Un saludo.
c.Velazquez, 42, Madrid, 22836, Espana
91-012-11-51

______________________
FIN DEL MAIL MALICIOSO
En este caso el pulsar sobre el link (LO CUAL NO DEBE HACERSE) ofrece la descarga del fichero malware “Transazione.zip” cuya ejecución lanza el maldito proceso en cuestuión, codificando todos los ficheros de datos.
MD5 7f123efad18a6d8b1d6ecea2de63fad3
SHA1 7d17f1eb0349e5ad48506d2b5d8a212a225a3e6b
Tamaño del fichero 443.5 KB ( 454144 bytes )
SHA256: 5f8450ddfbef3230807198aa3f12f79a413e99a2c4ed552c5bfbd70c6751869b
Nombre: Transazione.Pdf__________________________________________________…
Detecciones: 21 / 53
Fecha de análisis: 2014-10-16 08:26:19 UTC ( hace 0 minutos )

0 1
Información de comportamiento
Antivirus Resultado Actualización
Ad-Aware Trojan.GenericKD.1926124 20141016
Avast Win32:Malware-gen 20141016
Avira TR/Dropper.A.28876 20141016
Baidu-International Trojan.Win32.Injector.bBNPB 20141015
BitDefender Trojan.GenericKD.1926124 20141016
ByteHero Trojan.Malware.Obscu.Gen.006 20141016
ESET-NOD32 a variant of Win32/Injector.BNPB 20141016
Emsisoft Trojan.GenericKD.1926124 (B) 20141016
F-Secure Trojan.GenericKD.1926124 20141016
Fortinet W32/Injector.MMTP!tr 20141016
GData Trojan.GenericKD.1926124 20141016
Ikarus Trojan.Win32.Inject 20141016
Kaspersky Trojan-Ransom.Win32.Cryptolocker.cg 20141016
Malwarebytes Trojan.Zbot.CXgen 20141016
MicroWorld-eScan Trojan.GenericKD.1926124 20141016
Microsoft VirTool:Win32/CeeInject.FY 20141016
NANO-Antivirus Trojan.Win32.Filecoder.dgqytf 20141016
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141016
Sophos Troj/Ransom-AMS 20141016
TrendMicro TROJ_CRILOCK.SM4 20141016
TrendMicro-HouseCall TROJ_CRILOCK.SM4 20141016
Esta variante ya la detectan 21 de los 53 virus de virustotal, mientras que a ultima hora de ayer, cuando lo recibimos, solo lo detectaban 9. Ello es gracias a que en virustotal ofrecen las muestras que les enviamos, a los fabricantes de antivirus del analisis, y con ello se pasan a controlar las últimas variantes, lo cual es muy conveniente para evitar nuevas infecciones, aparte de que con el nivel heuristico del VIRUSSCAN configurado a NIVEL ALTO, McAfee detecta nuevas variantes aun no controladas especificamente, muy conveniente con este tipo de variantes, que a diario descargan nuevas actualizaciones.

Con el ELISTARA 30.81 de hoy se controla este nueva variante, recordando la conveniencia de disponer de copia de seguridad de los datos FUERA DEL ORDENADOR, aparte de que como ya indicamos en su día, en los Windows7, 8 y Vista, existe la función del SHADOW COPY que va guardando copias de versiones anteriores, a las que poder acudir en casos sin copia de seguridad… Tambie existe dicha función en los sistema <Windows server 2003, 2008 y 2011, si bien está desactivada por defecto, y el usuario debe activarla si desea que se realicen dichas copias.

Dicha version del ELISTARA 30.81 que detecta y elimina estas ultimas variantes estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 16-10-2014
NOTA: A título de información hemos observado que el origen de estos mails, que a primera vista han sido enviados desde IP 66.84.40.137, de USA, inicialmente provienen de 222.122.39.189 de KOREA
IP Address Country Code Location Postal Code Coordinates ISP Organization Domain Metro Code
66.84.40.137 US Columbus,
______________

222.122.39.189 KR Republic of Korea,
Asia 37.57,
126.98 Korea Telecom Korea Telecom
al parecer desde Korea utilizan un servidor de EEUU para hacer spam relay, pero lo malo es que al final llega a España !

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies