VARIANTE DE CRYPTOLOCKER QUE SE RECIBE EN FALSO MAIL DE CORREOS

Publicado el 24 marzo 2015 ¬ 12:19 pmh.mscComentarios desactivados en VARIANTE DE CRYPTOLOCKER QUE SE RECIBE EN FALSO MAIL DE CORREOS

Una vez recibido el dichoso (y falso) mail de “Correos” relativo a una carta certificada no recibida por el usuario, si se pulsa en “Descargar información sobre su envío” , aparece un phishing que, a traves de un captcha, descarga un ZIP que contiene un EXE con icono de PDF:

 

carta_certificada_327839.zip     (descarga del fichero empaquetado malicioso)

carta_certificada_327839.exe     (con icono de PDF)

 

Dicho phishing presenta esta imagen:

 

phishing correos captcha 31-5-2015
imagen phishing correos 24-3-2015

 

EL preanalisis de viristotal ofrece el siguiente informe:
MD5 1674ea64057d7c196dc16260b45af752
SHA1 1eb7a3a063da25f9cf16288cfcd197439048739c
Tamaño del fichero 744.5 KB ( 762368 bytes )
SHA256: 47a8ca7d6b84b35769f0049239ffbc20826ab0f9cfd7872e2732d8f2416dadfd
Nombre: carta_certificada_327839.exe
Detecciones: 4 / 56
Fecha de análisis: 2015-03-24 10:58:11 UTC ( hace 2 minutos )

0 1
Antivirus Resultado Actualización
Panda Trj/RansomCrypt.B 20150324
Qihoo-360 HEUR/QVM05.1.Malware.Gen 20150324
Tencent Trojan.Win32.YY.Gen.22 20150324
VBA32 BScope.Malware-Cryptor.Ponik 20150322

Como se ve, ni McAfee ni Kaspersky lo conocen actualmente,  por lo que ya les hemos enviado muestra del mismo para que lo detecten en las proximas versiones

Estamos trabajando para que la nueva version del hoy del ELISTARA 31.93 lo controle, de lo cual informaremos tan pronto sea el caso.

saludos

ms, 24-3-2015

 

 

PD.

 

Mientras desarrollamos la nueva version del ELISTARA 31.93 para detectar y eliminar la nueva variante del CRYPTOLOCKER de hoy , que llega en falso mail de Correos, hemos visto una manera de cortar el acceso a la descarga del mail malicioso, bloqueando el acceso a la web que usan para su descarga : http://supportpiece.com

Para ello simplemente se puede editar el fichero HOSTS y añadir esta línea:
127.0.0.1           supportpiece.com

De esta manera el acceso a dicha web será redireccionada al LOCAL HOST. impidiendo llegar a ella.

Tambien modificando los DNS al respecto puede lograrse lo mismo, si bien lo primero puede hacerlo cualquier usuario, que sepa editar un fichero de texto

Para ello editar el fichero HOSTS (sin extension), sito en C:\WINDOWS\SYSTEM32\DRIVERS\ETC\

y añadir la linea indicada al principio

Esperamos que ello les sea de utilidad

saludos

ms, 24-3-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies