NUEVA VARIANTE DE RANSOMWARE CTB-LOCKER que se recibe por mail, en el interior de un ZIP dentro de otro ZIP que contiene el SCR malicioso que instala el EXE que cifra los ficheros de datos

Como algunos de los CTB-Lockers que se reciben en ZIP anexado a un mail, este está escondido en un doble ZIP que contiene el siguiente fichero SCR:

sarsen_technology_ltd837.scr

Dicho SCR descarga e instala un EXE en carpeta temporal, que codifica todos los ficheros de datos a los que tiene acceso la maquina que se infecta

El preanalisis de virustotal ofrece el siguiente informe:

MD5 cb56e90a895646e54b7dd35bbd39363a
SHA1 c88e8482af04e6a630fd7204e70e7b40250d7fab
Tamaño del fichero 49.0 KB ( 50176 bytes )
SHA256: 6d136a21bf370d73423e62c6408848f60f0949eb49d338f3dcadfdda580cf632
Nombre: sarsen_technology_ltd837.scr
Detecciones: 5 / 56
Fecha de análisis: 2015-02-03 17:02:37 UTC ( hace 1 minuto )

0 1
Antivirus Resultado Actualización
ByteHero Trojan.Malware.Obscu.Gen.002 20150203
CMC Packed.Win32.Katusha.1!O 20150202
Cyren W32/Trojan.YJMY-9321 20150203
Emsisoft Trojan.CTBLocker.Gen.1 (B) 20150203
Rising PE:Malware.XPACK-LNR/Heur!1.5594 20150203
Visto que ninguno de los principales antivirus que ofrecemos, McAfee y Kaspersky, lo detectan, ya les hemos enviado muestra para analizar y controlar

Con el ELISTARA actual se resolverá el problema del ransomware en uso, al eliminar los temporales, y desaparecerá el findo de pantalla del hacker del CTB-LOCKER con las instrussiones para conectarse a la red TOR y desde alli conocer las exigencias para el rescate.

Como tantas otras veces, SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO

-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-
y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, CMD, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.

saludos

ms, 3-2-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies