PELIGROSO ENVIO ACTUAL DE MAILS MASIVOS MALICIOSOS OFRECIENDO ENLACE A DESCARGA DE VARIANTE DE RANSOMWARE CRYPTOLOCKER.TORRENT

Un mail malicioso que se está recibiendo actualmente, contiene un enlace de descarga de un fichero INVOICE.ZIP el cual contiene un aparente PDF que realmente es un EXE (truco de la doble extensión):

Invoice.Pdf_____________________________________________________________.exe

La apariencia del mail malicioso es la siguiente:

MAIL MALICIOSO:
_______________
Asunto: Le consegne di attrezzature.
De: <mrhoden@relatiefront.nl>
Fecha: 08/11/2014 08:10
Para: <“destinatario”>

Hola, “destinatario”.

Condicion de esta semana, que tiene una deuda.
Descarga los nuevos datos y enviar tus superiores:
http://www.xxxxxxxiexperience.com/Invoice.zip?Generate_to_client:tecnic@dsav.net
______________________

FIN DEL MAIL MALICIOSO

 

Como se ve, está redactado en un castellano deficiente, a diferencia de los anteriores que llegaban en inglés,

El enlace que incluye descarga el fichero virico desde un servidor italiano:

xx.xxx.128.166 IT Italy, Europe 42.8333, 12.8333 Aruba S.p.A.

sito al Noreste de Roma, segun las coordenadas arriba ofrecidas.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 edf51b7c2507590d697e0899c0cadcb5
SHA1 b59b8c306917ba92c48abba83992e09e9146336c
Tamaño del fichero 465.0 KB ( 476160 bytes )
Nombre: Invoice.Pdf______________________________________________________…
Detecciones: 31 / 52
Fecha de análisis: 2014-11-10 08:55:00 UTC ( hace 1 minuto )

0 4

Antivirus Resultado Actualización
AVG Luhe.Fiha.A 20141110
AVware Trojan.Win32.Generic!BT 20141110
Ad-Aware Trojan.GenericKD.1963246 20141110
AegisLab DangerousObject.Multi.Gen 20141110
Avast Win32:Malware-gen 20141110
Avira TR/Ransom.476160.1 20141110
Baidu-International Trojan.Win32.Kryptik.bCPPR 20141107
BitDefender Trojan.GenericKD.1963246 20141110
Bkav W32.HfsAutoA.D734 20141110
Comodo TrojWare.Win32.Amtar.amu 20141110
DrWeb Trojan.Encoder.799 20141110
ESET-NOD32 a variant of Win32/Kryptik.CPPR 20141110
Emsisoft Trojan-Ransom.Win32.Agent (A) 20141110
F-Secure Trojan.GenericKD.1963246 20141109
Fortinet W32/Kryptik.CPPR!tr 20141108
GData Trojan.GenericKD.1963246 20141110
Ikarus Trojan.Win32.Crypt 20141110
K7AntiVirus Trojan ( 004b06ec1 ) 20141110
K7GW Trojan ( 004b06ec1 ) 20141110
Malwarebytes Trojan.Agent.ED 20141110
McAfee PWSZbot-FAFA!EDF51B7C2507 20141110
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.gh 20141110
Microsoft Ransom:Win32/Teerac.A 20141110
NANO-Antivirus Trojan.Win32.Crypren.dijcqg 20141110
Norman Troj_Generic.XCFML 20141110
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141110
Sophos Troj/Agent-AJSY 20141110
Symantec Trojan.Zbot 20141110
TrendMicro TROJ_CRYPTLOCK.I 20141110
TrendMicro-HouseCall TROJ_CRYPTLOCK.I 20141110
VIPRE Trojan.Win32.Generic!BT 20141110
Como pùede verse McAfee lo detecta aunque como variante de ZBOT, si bien nosotros vemos que es una variante de los ultimos CRYPTOLOCKER.TORRENT que ya controlamos con el ELISTARA

Aunque en esta ocasión Kaspersky no lo detecte, enviamos muestra de dicho fichero a su portal para que lo puedan analizar y controlar rapidamente, aparte de que a todas las casas antivirus, el Virustotal les reporta muestras de los ficheros víricos que van recibiendo, para que implementen su control y eliminación en las siguientes actualizaciones de sus antivirus.

Este de ahora lo pasamos a controlar con el ELISTARA 30.98 de hoy, que estará disponible en nuestra web a partir de las 19 h CEST de hoy.

Por cierto, que en las carpetas afectadas por el cifrado de dicho virus. aparecen ficheros INSTRUCCIONES_DESCIFRADO.html con el siguiente texto, esta vez en un mal castellano en lugar del ingles tipico de anteriores variantes:

advertencia cryptolocher

Aparte de la diferencia en estos textos con varsiones anteriores, tambien  se aprecian diferencias en las claves de ejecucion, ya que utiliza HKLM en lugar de HKCU y que el nombre del proceso activo en memoria que figura es el EXPLORER.EXE y diferenetes rutinas de ejecución, es muy parecido a la gama de CRYPTOLOCKER.TORRENT del que ya informábamos en
https://blog.satinfo.es/2014/nueva-variante-de-ransomware-cryptolocker-torrent/

por lo que recordamos que esta gama actual, sigue lanzadose desde un O4 RUN en cada reinicio, aun despues de cifrar los ficheros de datos, por lo que no se debe olvidar el lanzar un escaneo con un antivirus que lo detecte para no volver a sufrir el cifrado de los ficheros repuestos desde la copia de seguridad.
SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.
saludos

ms, 10-11-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies