ULTIMAS LLEGADAS DE RANSOMWARES CTB-LOCKERS EMPAQUETADOS EN .CAB

Siguen llegando variantes de dicha familia, que ya van siendo controlados por los principales antivirus, incluidos Kaspersky y McAfee, que los controlan como

Kaspersky Trojan-Downloader.Win32.Cabby.cdim 20150129

McAfee Ransom-CTB 20150129

respectivamente.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 df282c679a4e8c509d039e9f1f1415c4
SHA1 a70c7e0f7f08a6e8282f63ecb2b8c80a1ce8a892
Tamaño del fichero 38.5 KB ( 39424 bytes )
SHA256: 2e336159ef73745d44abb907683dce5e0b29fd1a75099312c993fdbd635f7ea6
Nombre: generale_maatschappij_voor_plastiek_nv.scr
Detecciones: 30 / 57
Fecha de análisis: 2015-01-29 13:57:25 UTC ( hace 0 minutos )

0 1
Antivirus Resultado Actualización
ALYac Trojan.Ransom.Dalexis.F 20150129
AVG Crypt3.BWMA 20150129
AVware Trojan.Win32.Generic!BT 20150129
Ad-Aware Trojan.GenericKDZ.26934 20150129
AhnLab-V3 Trojan/Win32.CTBLocker 20150129
Avast Win32:Malware-gen 20150129
Avira TR/Cabhot.A.880 20150129
BitDefender Trojan.GenericKDZ.26934 20150129
ClamAV Win.Trojan.Ransom-4310 20150129
Cyren W32/Trojan.EUTZ-0721 20150129
DrWeb Trojan.DownLoad3.35539 20150129
ESET-NOD32 Win32/TrojanDownloader.Elenoocka.A 20150129
Emsisoft Trojan.GenericKDZ.26934 (B) 20150129
F-Prot W32/Trojan3.NKM 20150129
F-Secure Trojan.Ransom.Dalexis.F 20150129
Fortinet W32/Vimditator.AIRO!tr 20150129
GData Trojan.GenericKDZ.26934 20150129
Ikarus Trojan-Downloader.Win32.Upatre 20150129
Kaspersky Trojan-Downloader.Win32.Cabby.cdim 20150129
Malwarebytes Trojan.Email.FakeDoc 20150129
McAfee Ransom-CTB 20150129
MicroWorld-eScan Trojan.GenericKDZ.26934 20150129
Microsoft TrojanDownloader:Win32/Dalexis.C 20150129
Norman Kryptik.PDB 20150129
Panda Trj/RansomCrypt.B 20150129
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150129
Sophos Troj/Agent-AIRO 20150129
Tencent Win32.Trojan.Ctb-locker.Auto 20150129
ViRobot Trojan.Win32.Ransom.37376.A[h] 20150129
nProtect Trojan/W32.Agent.39424.TN 20150129

viendo que se reenvian desde equipos infectados, como este que ofrecia estas caracteristicas en el e-mail:

> De: Carolee Splett <agrobiology@reit.com>
> Para: <destinatario>
> Fecha: 28 de enero de 2015 a las 12:05
> Asunto: unhappier
>
> GENERALE MAATSCHAPPIJ VOOR PLASTIEK NV
> Karrewegstraat 150-154 9800 Deinze
> Deinze
> BELGIUM
> +32 93 05 08 80

Las muestras que vamos recibiendo hoy, pasan a ser controladas a partir del ELISTARA 31.54 QUe los detectan y eliminan, si bien estamos viendo que segun la hora en que se ejecute el downloader .SCR contenido en el .CAB, descargan diferente EXE, que es el que realmente queda residente y codifica los ficheros de datos de todas las unidades accesibles.

Otra muestra tambien recibida hoy, es detecta actualmente por menos AV, 26 de 57, como se ve en el resumen:

SHA256: a56538182d946675c4852711637f8cbd83c8e19a9421f305db2a997e17106fd8
Nombre: caggiati_espaa_sa.scr
Detecciones: 26 / 57
Fecha de análisis: 2015-01-29 14:11:01 UTC ( hace 0 minutos )

igual que estas otras dos, la tercera con aun menos detecciones que las anteriores, 23 de 57,

SHA256: 3ed468467c187b197d47123b332652fa662c5c5bfa99cca4fed931d71ea668fc
Nombre: j_and_a_anderson_roofing.scr
Detecciones: 23 / 57
Fecha de análisis: 2015-01-29 14:13:38 UTC ( hace 0 minutos )
y la cuarta igual (23 de 57):
SHA256: 1fd2b8956713526bab8e152a2c442ad4ef99cdc53296dbce1f0a976a1dc9cecd
Nombre: ringstr_5_35108_allendorf.cab
Detecciones: 23 / 51
Fecha de análisis: 2015-01-29 14:20:22 UTC ( hace 1 minuto )

Todas ellas pasan a ser controladas a partir del ELISTARA 31.54 que estará disponible e partir de las 19 h CEST de hoy

Tanto el codificador que genera el .SCR como el fondo de pantalla de la informacion del virus, son eliminados de base con el ELISTARA que existe en nuestra web, y solo para eliminar los .SCR que se hubieran desempaquetado y estuvieran en el disco duro del ordenador infectado (el que hubiera ejecutado el fichero anexado al mail) es para lo que conviene escanear con el ultimo ELISTARA que controle ya dichos .SCR, para evitar que se ejecuten sin querer.

Asi que si se ha sufrido el ataque, conviene descargar el ultimo ELISTARA disponible en nuestra web y lanzarlo en la maquina que ha sufrido el ataque, o en todas si no se sabe cual es, y luego ya podrá procederse a restaurar los ficheros codificados desde la copia de seguridad, pero no antes, pues si está el virus activo volveria a cifrarlos.

Para saber donde y cuales son los ficheros que ha codificado el virus, este ha creado en la carpeta PROGRAMDATA (de windows7) un fichero de nombre ilógico y extension .HTML en la que se indican UNIDAD\RUTA\FICHERO DE DATOS cifrados por dicho virus.

Esperamos que esta información aclare las dudas que puedan tener la mayoria de nuestros usuarios, pero ante cualquier duda, rogamos nos consulten.

saludos

ms, 29-1-2015