CONTINUOS MAILS ANEXANDO NUEVAS VARIANTES DE FICHEROS CAB QUE DESCARGAN VARIANTES DEL CTBLOCKER

Se está produciendo una avalancha de mails maliciosos con un anexado CAB, que contiene un SCR, el cual descarga un EXE que resulta ser un CTBLOCKER, de los que codifican la informacion de todas las maquinas a las que tiene acceso el ordenador que se infecta, incluido el servidor, con una codificacion AES256, para lo que el hacker ofrece enviar herramienta de descifrado pagando un rescate de 3 BITCOINS (unos 600 euros)

La extension que añade a los ficheros afectados es variable, a difereccia de la de ” .ECC “que añade el TESLACRYPT o la tan conocida ” .encrypted ” de los que codifica el CRYPTOLOCKER

Vamos añadiendo control y eliminacion de los ficheros descargados por dichos downloaders, en las nuevas versiones del ELISTARA que hacemos a diario, que hoy será la versión 32.10

Los mail se reciben de una empresa que puede ser una de las que ya ha sido infectada, y que su nombre es empleado como nombre del fichero con extension SCR, que empaqueta dentro de un fichero CAB que anexa al mail malicioso:

De : <remitente posiblemente spoofing>
Asunto: <nombre de otro usuario, que luego figura tras la firma>
Para: <destinatario que recibe el mail>

Good morning,

————————————-
“NOMBRE DE LA EMPRESA SUPUESTAMENTE INFECTADA Y QUE REENVIA INVOLUNTARIALMENTE EL MAIL”, S.A.
DIRECCION DE DICHA EMPRESA :”C/ ……….,2 46014 Valencia”
Valencia
SPAIN
telefono:…

ANEXADO : “igual nombre que el del asunto”.CAB <— fichero malicioso

El preanalisis de virustotal del SCR extraido del CAB (ambos tienen el mismo nombre), ofrece el siguiente informe:

MD5 aebbc7737d17976662859f9d32242ddc
SHA1 090e4e64bbb06f30354aece6d8f5c10582fb02b1

SHA256: aa74e4aa7eba5632d26dfce9fa30927318a39e6e5d5aa4deff7e04651ec337a2
Nombre: “nombre de una empresa que posiblemente se ha infactado”.scr
Detecciones: 24 / 56
Fecha de análisis: 2015-04-17 08:23:29 UTC ( hace 3 minutos )

0 1
Antivirus Resultado Actualización
AVG Inject2.BYQI 20150417
Ad-Aware Trojan.Agent.BJAF 20150417
AhnLab-V3 Win-Trojan/CTBLocker.Gen 20150417
BitDefender Trojan.Agent.BJAF 20150417
ByteHero Trojan.Malware.Obscu.Gen.002 20150417
CMC Packed.Win32.Katusha.3!O 20150416
ESET-NOD32 a variant of Win32/Kryptik.DFKW 20150417
Emsisoft Trojan.Agent.BJAF (B) 20150417
F-Secure Trojan.Agent.BJAF 20150417
Fortinet W32/Elenoocka.C!tr.dldr 20150417
GData Trojan.Agent.BJAF 20150417
K7AntiVirus Trojan ( 004bd8781 ) 20150417
K7GW Trojan ( 004bd8781 ) 20150417
Kaspersky UDS:DangerousObject.Multi.Generic 20150417
Malwarebytes Trojan.Agent.PRTIGen 20150417
MicroWorld-eScan Trojan.Agent.BJAF 20150417
Microsoft TrojanDownloader:Win32/Dalexis.F 20150417
Norman Kryptik.CCQZ 20150416
Panda Generic Suspicious 20150416
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150417
Sophos Troj/Agent-AMPL 20150417
Tencent Trojan.Win32.Qudamah.Gen.5 20150417
ViRobot Trojan.Win32.Agent.86016.CT[h] 20150417
nProtect Trojan.Agent.BJAF 20150417

Dicho SCR contenido en el CAB que anexan los mails, descargan nuevas variantes como esta que tambien pasamos a controlar con las nuevas versiones del ELISTARA:

MD5 3b4db064502262801aa0a4243338b48f
SHA1 2e45c0694b898bd8f32b83c0aa97704d02773728
Tamaño del fichero 822.0 KB ( 841728 bytes )
SHA256: 311633b8f946f97a7a15e5a562eab350bb79807dd7b02d3be243ff6e021f53c9
Nombre: mex.exe
Detecciones: 13 / 56
Fecha de análisis: 2015-04-17 08:41:39 UTC ( hace 5 minutos )

0 1
Antivirus Resultado Actualización
AhnLab-V3 Trojan/Win32.CTBLocker 20150417
Baidu-International Trojan.Win32.Ransom.mfli 20150417
Bkav HW32.Packed.6BEC 20150417
ESET-NOD32 Win32/Filecoder.DA 20150417
K7AntiVirus Trojan ( 003c36381 ) 20150417
K7GW Trojan ( 003c36381 ) 20150417
Kaspersky Trojan-Ransom.Win32.Foreign.mfli 20150417
Malwarebytes PUP.Optional.AdobeExtendedPlugin.C 20150417
McAfee Artemis!3B4DB0645022 20150417
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150417
Sophos Mal/Generic-S 20150417
Tencent Trojan.Win32.YY.Gen.2 20150417
TrendMicro-HouseCall Suspicious_GEN.F47V0416 20150417

Dicha version del ELISTARA 32.10 que los controlará y eliminará, estará disponible en nuestra web a partir de las 15 h CEST de hoy.

Como se puede ver, McAfee ya lo detecta heuristicamente , para lo cual es muy importante tener configurada la consola del VirusScan con la heuristica a nivel MUY ALTO, y tener conexion a internet para que dicha configuracion sea útil.

APARTE; No olvidar que continuamente van apareciebndio nuevas variantes de estos CTBLOCKERS, llegando en los mails infectados, y que incluso un mismo SCR contenido en un CAB, descarga diferentes versiones de estos CTBLOCKERS en funcion del tiempo, por lo que el mismo fichero va descargando nuevas variantes, que iran siendo controladas, pero solo el propio usuario es el que puede evitar ejecutar nuevas variantes desconocidas, evitando ejecutar anexados a mails no solicitados.

Se recuerda que se aconseja instalar una solución perimetral que impida que los usuarios reciban mails con ficheros anexados que tengan extensiones CAB, ZIP, EXE, SCR, COM, PIF, CPL, BAT, etc, y que con ello se les impida tener acceso a descargar-ejecutar los ficheros maliciosos que los antivirus aun no conozcan.

E independientemente de ello, recordar que siempre de ha de tener COPIA DE SEGURIDAD AL DIA, y fuera del alcance de estos bichos (en una unidad externa no compartida), para evitar que sea tambien cifrada ante uno de tantos ataques de estos indeseables.

MUCHO CUIDADO QUE ES REALMENTE UNA AVALANCHA DE NUEVAS VARIANTES RECIBIDAS POR MAIL, LO QUE NOS ESTA LLEGANDO DE TODO TIPO DE USUARIOS, QUE NADIE ESTA EXENTO DE RIESGO, Y LO MAS IMPORTANTE ES QUE LOS USUARIOS ESTEN CONCIENCIADOS, YA QUE ELLOS PUEDEN EVITAR PROBLEMAS AL RESPECTO ANTE NUEVAS VARIANTES INICIALMENTE DESCONOCIDAS, NO EJECUTANDO FICHEROS ANEXADOS A MAILS NO SOLICITADOS.

Dicha version del ELISTARA 32.10 que los detecta y elimina, estara disponible en nuestra web a partir de las 15 horas CEST de hoy.

saludos

ms, 17-4-2015