Otro mail malicioso anexando ZIP DENTRO DE OTRO ZIP y que al final contiene un .SCR que instala un EXE con el CTB-LOCKER !!!

Está llegando un mail similar e este:

MAIL MALICIOSO
______________
Asunto: New fax message:G63E9574F431695
De: “Robbyn Catlin” <admitter@sogesal.com>
Fecha: 03/02/2015 16:51
Para: <destinatario>

Fax: +07879698344
Date: 2015.01.18 15:50:20 CST
Pages: 5
Reference number: G63E9574F431695
Filename: limehouse_paperboard_mills_ltd468.zip

—
Limehouse Paperboard Mills Ltd
Robbyn Catlin
anexado : limehouse_paperboard_mills_ltd468.zip <—- contiene otro ZIP con el SCR que instala el EXE con el CTB-LOCKER

______________________

FIN DEL MAIL MALICIOSO

El ZIP anexado desempaqueta otro ZIP que contiene el fichero SCR siguiente:

limehouse_paperboard_mills_ltd468.scr
Dicho fichero instala y ejecuta un EXE en la carpeta temporal que resulta ser una nueva variante de CTB-LOCKER
El preanalisis de virustotal ofrece el siguiente informe:
MD5 ce1f6d6b0fe9a320a02337d969e30a45
SHA1 fd07924efda90b4a45bfa30ed21351320f73e65e
Tamaño del fichero 45.5 KB ( 46592 bytes )

SHA256: cd04c361d8f6a03a5436193f1e6f8547543a4d4f1cb0b2470f98db04c32b62c2
Nombre: limehouse_paperboard_mills_ltd468.scr
Detecciones: 5 / 54
Fecha de análisis: 2015-02-03 16:27:03 UTC ( hace 1 minuto )

0 1
Antivirus Resultado Actualización
ByteHero Trojan.Malware.Obscu.Gen.002 20150203
CAT-QuickHeal TrojanDownloader.Dalexis.A3 20150203
CMC Packed.Win32.Katusha.1!O 20150202
Kaspersky UDS:DangerousObject.Multi.Generic 20150203
Rising PE:Malware.XPACK-LNR/Heur!1.5594 20150203
Como puede verse es incipiente, pues solo lo controlan actualmente 5 AV de 54 del virustotal
Dicha version del ELISTARA 31.57 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
Como sea que McAfee aun no lo conoce, ya le hemos enviado muestra para su analisis y control, lo cual, como siempre, esperamos pase a controlarlo con maxima urgencia, dado lo peligroso que es este ransomware que codifica los ficheros de datos de todas las masquinas a las que tiene acceso desde el ordenador infectado.

AL respecto, SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO

-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-
y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, CMD, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.
saludos

ms, 3-2-2015