AVALANCHA DE MAILS ANEXANDO NUEVAS VARIANTES DEL RANSOMWARE CTBLOCKER

Estan llegan masivamente mails que anexan ficheros maliciosos que contienen variantes de ransomware CTBLOCKER, de los que pasamos a informar de varios en los que puede verse su similitud, suponiendo que los está haciendo un sistema robotico que va enviando a direcciones variadas de mail, diferentes variantes de dicho malware.

Algunos de los mails en cuestion son del siguiente tipo:

MAIL MALICIOSOS

_______________

Asunto: D’Oglio ITALY
De: “Tonette Gilly” <gundog@adacal.com>
Fecha: 21/04/2015 19:30
Para: <destinatario>
Hello,

ANEXADO : vipak_srl.zip <— FICHERO MALICIOSO INFECTADO CON ctblocker
=========
Tonette Gilly
________________

Asunto: Tarragona SPAIN
De: “Donnie Vassil” <presentation@frosolone.net>
Fecha: 21/04/2015 21:08
Para: <DESTINATARIO>

Hello,
ANEXADO: hormigones_prefabricados_de_espaa_sa.zip <— fichero malicioso infectado con ctblocker

======
Donnie Vassil
_________________

Asunto: +49 (661) 712 90 Fulda
De: “Augustus Newnham” <prognoses@giumelli.com>
Fecha: 21/04/2015 18:17
Para: m<destinatario>

Hi,
aanexado: maberzeller_str_2_36041_fulda.zip <— fichero malicioso infectado con ctblocker
__________________

Asunto: Pardubice Czech Republic
De: “Katlyn Sanko” <unmoralize@cpminnj.org>
Fecha: 21/04/2015 20:50
Para: <destinatario>

Good morning,
anexado: vzkumn_stav_organickch_syntz_as.zip <… fiuchero malicioso infectado con ctblocker

___________________

Asunto: Carbonera ITALY
De: “Guy Basini” <verbena@africascope.net>
Fecha: 21/04/2015 20:23
Para: <destinatario>

Hi,
anexado : impresa_edile_spricigo_adamo_and_figli_snc.zip <— fichero malicioso infectado con ctb locker

___________________

Asunto: CANADA
De: “Shaina Koroma” <wittingly@schumeth.net>
Fecha: 21/04/2015 18:57
Para: <destinatario>

Greetings,
anexado: aanda_associates.zip <— fichero malicioso infectado con CTB LOCKER

____________________

FIN RELACION DE MAILS MALICIOSOS

Todos ellos llegan en mail que anexa un ZIP que contiene un CAB que a su vez contiene un SCR que es el ejecutable infector

Ofrecemos el analisis de uno de ellos, al ser todos del mismo tipo, 4 de los cuales ya controlamos con el ELISTARA 32.12 existente en nuestra web y los demás los incluiremos en el de hoy, 32.13, en el que añadiremos la deteccion y eliminacion de estos nuevos y de los que vayan llegando durante el dia de hoy.

Dicho preanalisis de virustotal ofrece el siguiente informe:

MD5 d2c9dc084e4003825a8b0698a434aa69
SHA1 75e2a6e49f4a5c729a7a3c8d674a4521f77ae47a
Tamaño del fichero 68.0 KB ( 69632 bytes )
SHA256: 9b72e34468e000e54a541581c126002998f2a7cd08af4641c79b3b6afb6db730
Nombre: hormigones_prefabricados_de_espaa_sa.scr
Detecciones: 20 / 56
Fecha de análisis: 2015-04-22 07:37:06 UTC ( hace 2 minutos )

0 1
Antivirus Resultado Actualización
AVG Downloader.Generic14.TDS 20150422
Ad-Aware Trojan.Ransom.Dalexis.H 20150422
Avast Win32:Trojan-gen 20150422
BitDefender Trojan.Ransom.Dalexis.H 20150422
ByteHero Trojan.Malware.Obscu.Gen.002 20150422
CMC Packed.Win32.Katusha.3!O 20150421
ESET-NOD32 Win32/TrojanDownloader.Elenoocka.C 20150422
Emsisoft Trojan.Ransom.Dalexis.H (B) 20150422
F-Secure Trojan.Ransom.Dalexis.H 20150422
Fortinet W32/Kryptik.DFKB!tr 20150422
GData Trojan.Ransom.Dalexis.H 20150422
K7AntiVirus Trojan-Downloader ( 004bd5d41 ) 20150422
K7GW Trojan-Downloader ( 004bd5d41 ) 20150422
Kaspersky Trojan-Downloader.Win32.Cabby.cfgt 20150422
MicroWorld-eScan Trojan.Ransom.Dalexis.H 20150422
Microsoft TrojanDownloader:Win32/Dalexis.F 20150422
Norman Kryptik.CCQZ 20150422
Panda Trj/Genetic.gen 20150421
Sophos Troj/Agent-AMKP 20150422
Tencent Trojan.Win32.Qudamah.Gen.5 20150422

Dicha version del ELISTARA 32.13 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 22-4-2015