NUEVOS CRYPTOLOCKERS QUE SE RECIBEN POR MAIL COMO EL DE AYER, PERO ESTA VEZ UNO SIMULANDO SER DE CORREOS Y EL OTRO DE UN IMPAGADO

Publicado el 4 diciembre 2014 ¬ 11:31 amh.mscComentarios desactivados en NUEVOS CRYPTOLOCKERS QUE SE RECIBEN POR MAIL COMO EL DE AYER, PERO ESTA VEZ UNO SIMULANDO SER DE CORREOS Y EL OTRO DE UN IMPAGADO

Aparte de multitud de incidencias con el CRYPTOLOCKER que llegó ayer, el cual ya controlamos con el ELISTARA 31.15, hoy nos llegan otras variantes que pasamos inmediatamente a controlar con la version 31.16 del ELISTARA de hoy

El preanalisis de virustotal de estos nuevos es el siguiente:
PARA EL QUE SIMULA VENIR DE CORREOS (como el de ayer)
MD5 00cb45c4efd4053cef8bb8567dc0638e
SHA1 db0793c3b395697495e89460c35b0b3947c028f1
Tamaño del fichero 455.0 KB ( 465920 bytes )
SHA256: 005d62ccb914fe69ed4795a68a2ec0c679e4713c50a73d90524b7bac1240fefd
Nombre: Carta certificada_382973927002.exe
Detecciones: 22 / 55
Fecha de análisis: 2014-12-04 08:16:30 UTC

0 5

Antivirus Resultado Actualización
AVG Inject2.BGRB 20141203
Ad-Aware Trojan.GenericKD.2009283 20141204
Avira TR/Dorkbot.33720431 20141204
Baidu-International Trojan.Win32.Filecoder.BDI 20141203
BitDefender Trojan.GenericKD.2009283 20141204
Comodo UnclassifiedMalware 20141204
DrWeb Trojan.Encoder.761 20141204
ESET-NOD32 Win32/Filecoder.DI 20141204
Fortinet W32/Filecoder.DI!tr 20141204
Ikarus Trojan.Win32.Filecoder 20141204
Kaspersky Trojan-Ransom.Win32.Crypren.qgl 20141204
Malwarebytes Trojan.Pseudo 20141204
McAfee Artemis!00CB45C4EFD4 20141204
McAfee-GW-Edition BehavesLike.Win32.BadFile.gh 20141204
MicroWorld-eScan Trojan.GenericKD.2009283 20141204
Microsoft Ransom:Win32/Teerac.A 20141204
Norman Sinowal.FSR 20141204
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141204
Sophos Troj/Ransom-AOI 20141204
Symantec Trojan.Cryptolocker.E 20141204
TrendMicro TROJ_FORUCON.BME 20141204
TrendMicro-HouseCall TROJ_FORUCON.BME 20141204

y PARA EL OTRO MAS RECIENTE, Y AUN MUY POCO CONTROLADO :

este no viene aparentando ser de CORREOS, sino en este otro reclamando pago:

MAIL MALICIOSO
______________

Asunto: Informacion Entrega 8870
De: <remitente -se supone spoofing->
Fecha: 04/12/2014 09:24
Para: <destinatario>

Información requerida para el pago en el número de cuenta: XTrK0cxuuXG se pueden descargar en
http://XXXXXXXX.com/Perfil.zip?_ID_<destinatario>

_____________________
FIN DE MAIL MALICIOSO

en el que pulsando en el enlace que ofrecen, se descarga un ZIP de nombre PERFIL.ZIP, el cual contiene un Perfil.Pdf _____________________________________________________________.exe, fichero que como se ve si se tiene configurado windows para mostrar extensiones de ficheros, se ve que tiene doble extension, .PDF y tras muchos espacio, .EXE, que es la que realmente se ejecuta.

El preanalisis de virustotal de este último, ofrece el siguiente informe:
MD5 400d4d727950f4d6de451115b8c4cfc1
SHA1 e97b06dc654b70c6c117e7b2e91c9916a06e85a4
Tamaño del fichero 531.3 KB ( 544016 bytes )
SHA256: ee177b068a2ac964536637fe4f04ff2deed524e981e69f5cceb2e0dd935c3f65
Nombre: Perfil.Pdf ______________________________________________________…
Detecciones: 3 / 54
Fecha de análisis: 2014-12-04 10:04:54 UTC ( hace 0 minutos )

0 1

Antivirus Resultado Actualización
DrWeb Trojan.Encoder.808 20141204
Kaspersky Backdoor.Win32.Androm.fonx 20141204
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20141204
Vamos a editar nueva version del ELISTARA 31.16 urgente, EN PLAN DE EMERGENCIA, Y LA SUBIREMOS ESTA MAÑANA A LA WEB
Mientras , mucho cuidado con los mails, aparenten venir de CORREOS o no, ya que este ultimo aparenta ser reclamación de un impagado,

En ambos casos el fichero malware aparente ser un PDF, pero realmente es un EXE, por lo que recomendamos configurar WINDOWS de forma que muestre las extensiones, y pueda verse realmente la extension real del fichero (si hay dos, siempre es la última)

Ya se ve que en la última variante aun no la detectan la mayoría de antivirus, pues actualmente solo lo detectan tres, entre ellos Kaspersky, si bien McAfee aun no la detecta ni heuristicamente, por lo que ya les hemos enviado muestra urgente de esta variante que sabemos se está propagando con los siguientes nombres de fichero con doble extension:

Perfil.Pdf _____________________________________________________________.exe

Informe.Pdf _____________________________________________________________.exe

Mensaje.Pdf _____________________________________________________________.exe
Cuando tengamos lista dicha utilidad ELISTARA 31.16 para detectarlos y eliminarlos, informaremos por este mismo medio

saludos

ms, 4-12-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies