OTRO MAIL ANEXANDO FICHERO ZIP QUE CONTIENE SCR CON EL CTB-LOCKER, AUN MUY POCO CONTROLADO POR LOS ACTUALES AV (solo 5 de 56)

Otra variante del RANSOMWARE CTB-LOCKER llega anexado a un mail con este ZIP:

kinzigstr_16_77652_offenburg.zip
El cual contiene un fichero con extension .SCR que ejecuta e instala una nueva varuiante de CTB-LoCKER, aun poco detectada por los actuales AV

Su icono es de fichero de Word, para engañar al usuario e inducir a su ejecucion.
De hecho, McAfee todavia no la detecta ni con la heuristica MUY ALTA ni con los Daily DAT, por lo que lo hemos enviado urgentemente a McAfee para su control en proximos DAT

A partir del ELISTARA 31.58 de hoy, pasaremos a controlarlo, e incluso con el actual, ya lo desactivamos y eliminamos el que está en uso en carpeta temporal.

EL preanalisis de virustotal ofrece el siguiente informe:

MD5 7afccea3c5b30a2b0ec22946473784df
SHA1 ef3ddbb972544bc856db436653ab70da8349f09c
Tamaño del fichero 52.5 KB ( 53760 bytes )
SHA256: 0905f77daa04d7cdc27d075aa4475ea299518671e81cced4edbec17de8453a28
Nombre: kinzigstr_16_77652_offenburg.scr
Detecciones: 5 / 56
Fecha de análisis: 2015-02-04 13:16:47 UTC ( hace 2 horas, 54 minutos )
0 1
Antivirus Resultado Actualización
Kaspersky UDS:DangerousObject.Multi.Generic 20150204
Malwarebytes Trojan.Agent.TR 20150204
Norman Elenoocka.AE 20150204
Rising PE:Malware.XPACK-LNR/Heur!1.5594 20150203
Tencent Win32.Trojan.Ctb-locker.Auto 20150204
Dicha version del ELISTARA 31.58 que lo detectará y eliminará,incluso el SCR que hubiera creado, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 4-2-2015

NOTA

SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO

-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-
y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, CMD, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.