4 nuevos mails con diferente anexado, aunque todos descargan el downloader NEMUCOD pero ahora descargan nueva variante de TESLACRYPT-U

4 nuevos mails con diferente anexado, aunque todos descargan el mismo downloader NEMUCOD, pero que ahora descarga nueva variante de TESLACRYPT-U

Siguen llegando mails anexando downloader NEMUCOD que descargan ransomwares

Los ultimos 4 llevaban anexados sendos ficheros zip, que contienen ficheros JS con downloader NEMUCOD, cuyos hashes SHA1 1 resultan ser todos iguales:

“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Case_id00-137025242#.js 3793
“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Confirmation_id00-747192840#.js 3793
“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Label_id00-202175293#.js 3793
“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Label_id00-893155670#.js 3793

El primero de ellos ofrece el siguiente informe en virustotal:

MD5 a810dcd3de5da723940d3c44075d3314
SHA1 f3ba644a41b8a26750a729f52e91ca6cbb21cc78
Tamaño del fichero 3.7 KB ( 3793 bytes )
SHA256: bb775c2e1f63186ad28e8440ce451d7ae6df6b6554e6868c6368cfd2b0e7f921
Nombre: Post_Parcel_Case_id00-137025242#.js
Detecciones: 6 / 57
Fecha de análisis: 2016-03-14 10:54:53 UTC ( hace 3 minutos )
0 2

Antivirus Resultado Actualización
Arcabit HEUR.JS.Trojan.b 20160314
Avast Other:Malware-gen [Trj] 20160314
Avira (no cloud) JS/Dldr.Nemucod.44631 20160314
ESET-NOD32 JS/TrojanDownloader.Nemucod.JN 20160314
McAfee JS/Nemucod.ds 20160314
McAfee-GW-Edition JS/Nemucod.du 20160313

Y todos ellos descargan la misma variante de ransowmare TESLACRYPT-U, si bien ahora ya son de una nueva variante que no crea link de reejecucion, pero el donwloader lo instala y ejecuta, consiguiendo el cifrado y añadiendo .MP3 a los ficheros afectados.

Dicha version del ELISTARA 34.14 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 14-3-2016