SIGUEN LLEGANDO MAILS MALICIOSOS CON CRYPTOLOCKER TORRENT

Con varios textos y logicamente diferente ZIP de descarga se reciben muchos mails anexando CRYPTOLOCKER TORRENT, afortunadamente todos ya controlados por el actual ELISTARA 31.23

Algunos de los textos de dichos mails son los siguientes:
Asunto: deuda i d – UYIHdYU93
De: «FALSO REMITENTE> (SPOOFING)
Fecha: 12/12/2014 16:53
Para: <DESTINATARIO>
Hi, <DESTINATARIO>.

La factura debe pagarse antes del final de la semana! Detalles de descarga en:
http://beta.??????-?????????.com/Order/Expense.zip?60414107281
_____________

Asunto: La informacion sobre el calculo. 2hFV9WrYtoC7
De: <falso remitente> SPOOFING
Fecha: 13/12/2014 21:33
Para: <destinatario>

Hello, <destinatario>.

Que le hayan facturado, por favor, preste la deuda:
http://?????????????.com/Order/Document.zip?03940827

id:533530781277

___________

Asunto: Lista de precios, pago
De: <falso remitente.com> SPOOFING
Fecha: 13/12/2014 10:58
Para: <destinatario>

Hi, <destinatario>.

Pedimos disculpas por el retraso, aqui hay una nueva lista de precios con la documentacion
http://????????????.rs/Order/Expense.zip?ofaSuF7hzW2ILFgrtYHh_i_d_<destinatario>
==
! Si el pago no se recibe antes de la final de la semana, nuestra empresa va a exigir una indemnizacion.
Tel.: +34 ??? ??-??-??
id:424731682
____________

Asunto: Detalles de la actualizacion. pago #agjs9uDTfFiq
De: <remitente>
Fecha: 14/12/2014 17:39
Para: <destinatario>
Hi, <destinatario>.

Nuestra empresa le haya emitido una factura. Detalles en:
http://??????solutionsms.com/Billing/Order.zip?s3NWVYsS_i_d_<destinatario>

==
Tel.: +34 ??? ??????
____________

Y los preanalisis de virustotal, de dos de los patrones de los mismos,
ofrecen las siguientes detecciones:

MD5 4256b43110d9bd870360824242288aab
SHA1 f5dcd7336d2a0937a6c1f23435c8e269876e5dc2
Tamaño del fichero 407.0 KB ( 416768 bytes )
SHA256: 4f88a871f82645d38ce3d028913c1506d036cb27626e15bbb7881aa13109267c
Nombre: Expense_Pdf______________________________________________________…
Detecciones: 22 / 53
Fecha de análisis: 2014-12-15 08:54:50 UTC ( hace 0 minutos )

0 4

Antivirus Resultado Actualización
ALYac Trojan.GenericKD.2023659 20141215
AVG FileCryptor.RP 20141215
AVware Trojan.Win32.Generic!BT 20141215
Ad-Aware Trojan.GenericKD.2023659 20141215
Avast Win32:Malware-gen 20141215
Avira TR/Crypt.Xpack.115400 20141215
BitDefender Trojan.GenericKD.2023659 20141215
DrWeb Trojan.Encoder.842 20141215
ESET-NOD32 Win32/Filecoder.DI 20141215
Emsisoft Trojan.GenericKD.2023659 (B) 20141215
Fortinet W32/Rack.AOU!tr 20141213
GData Trojan.GenericKD.2023659 20141215
Ikarus Trojan-Ransom.Win32.Rack 20141215
Kaspersky Trojan-Ransom.Win32.Rack.ap 20141215
Malwarebytes Trojan.Agent.ED 20141215
McAfee RDN/Ransom!em 20141215
MicroWorld-eScan Trojan.GenericKD.2023659 20141215
Microsoft Ransom:Win32/Teerac.A 20141215
Norman Kryptik.CERV 20141215
Sophos Troj/Ransom-AOU 20141215
TrendMicro-HouseCall TROJ_GEN.R047H01LC14 20141215
VIPRE Trojan.Win32.Generic!BT 20141215
y los ficheros extraidos de los ZIP anexados han sido en este caso:
Expense_Pdf_____________________________________________________________ .exe
Document_Pdf________________________________________________________________ .exe
base.EXE
base
Payment_Pdf_____________________________________________________________ .exe

_______________
MD5 3f4e9280f7676a7fce3ddcedd64888d7
SHA1 4aafb71724316d825eb5683fc24de6402a325b6b
Tamaño del fichero 141.5 KB ( 144896 bytes )
SHA256: 22ef65697339c72390cf74d97b2a340255524ab7d7da9d9425b4af74717d3d02
Nombre: Document_Pdf_____________________________________________________…
Detecciones: 28 / 54
Fecha de análisis: 2014-12-15 09:00:47 UTC ( hace 1 minuto )

0 1
Antivirus Resultado Actualización
ALYac Trojan.GenericKD.2021713 20141215
AVG Crypt3.BKLK 20141215
AVware Trojan.Win32.Generic!BT 20141215
Ad-Aware Trojan.GenericKD.2021713 20141215
Agnitum Trojan.Foreign!gnbO9JR5KTA 20141214
Avast Win32:Malware-gen 20141215
Avira TR/Crypt.ZPACK.112906 20141215
BitDefender Trojan.GenericKD.2021713 20141215
DrWeb BackDoor.Andromeda.404 20141215
ESET-NOD32 a variant of Win32/Kryptik.CSUK 20141215
Emsisoft Trojan.GenericKD.2021713 (B) 20141215
GData Trojan.GenericKD.2021713 20141215
Ikarus Trojan-Ransom.Win32.Foreign 20141215
K7AntiVirus Trojan ( 004b22c71 ) 20141215
K7GW Trojan ( 004b22c71 ) 20141215
Kaspersky Trojan-Ransom.Win32.Foreign.lhcg 20141215
Malwarebytes Trojan.Kryptik.Gen 20141215
McAfee RDN/Ransom!em 20141215
MicroWorld-eScan Trojan.GenericKD.2021713 20141215
Microsoft Trojan:Win32/Chanitor.A 20141215
Norman Kryptik.CERN 20141215
Panda Generic Malware 20141214
Sophos Mal/Generic-S 20141215
Symantec Trojan Horse 20141215
TrendMicro TROJ_CRYPTED.AJS 20141215
TrendMicro-HouseCall TROJ_CRYPTED.AJS 20141215
VIPRE Trojan.Win32.Generic!BT 20141215
nProtect Trojan.GenericKD.2021713 20141212
cuyos ficheros extraidos del ZIP anexado han sido:

Invoice_Pdf_______________________________________________________________ .exe
Document_Pdf________________________________________________________________ .exe
MSNQWCQN.EXE.vir
vti-rescan
Order_Pdf_____________________________________________________________ .exe
Shipment_Pdf________________________________________________________________ .exe
Payment_Pdf_____________________________________________________________ .exe
fdasfa__PdF_____________________________.exe
Order_Pdf_____________________________________________________________ .exe
como puede verse, la mayoría con doble extension *.PDF.EXE

Y otros similares, pero actualemnte todos controlados ya por el actual ELISTARA 31.23 existente en nuestra web

SE RECUERDA UNA VEZ MAS:

«no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.»

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO

saludos

ms, 15-12-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies