4 nuevos mails con diferente anexado, aunque todos descargan el downloader NEMUCOD pero ahora descargan nueva variante de TESLACRYPT-U

4 nuevos mails con diferente anexado, aunque todos descargan el mismo downloader NEMUCOD, pero que ahora descarga nueva variante de TESLACRYPT-U

Siguen llegando mails anexando downloader NEMUCOD que descargan ransomwares

Los ultimos 4 llevaban anexados sendos ficheros zip, que contienen ficheros JS con downloader NEMUCOD, cuyos hashes SHA1 1 resultan ser todos iguales:

“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Case_id00-137025242#.js 3793
“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Confirmation_id00-747192840#.js 3793
“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Label_id00-202175293#.js 3793
“F3BA644A41B8A26750A729F52E91CA6CBB21CC78” -> Post_Parcel_Label_id00-893155670#.js 3793

El primero de ellos ofrece el siguiente informe en virustotal:

MD5 a810dcd3de5da723940d3c44075d3314
SHA1 f3ba644a41b8a26750a729f52e91ca6cbb21cc78
Tamaño del fichero 3.7 KB ( 3793 bytes )
SHA256: bb775c2e1f63186ad28e8440ce451d7ae6df6b6554e6868c6368cfd2b0e7f921
Nombre: Post_Parcel_Case_id00-137025242#.js
Detecciones: 6 / 57
Fecha de análisis: 2016-03-14 10:54:53 UTC ( hace 3 minutos )
0 2

Antivirus Resultado Actualización
Arcabit HEUR.JS.Trojan.b 20160314
Avast Other:Malware-gen [Trj] 20160314
Avira (no cloud) JS/Dldr.Nemucod.44631 20160314
ESET-NOD32 JS/TrojanDownloader.Nemucod.JN 20160314
McAfee JS/Nemucod.ds 20160314
McAfee-GW-Edition JS/Nemucod.du 20160313

Y todos ellos descargan la misma variante de ransowmare TESLACRYPT-U, si bien ahora ya son de una nueva variante que no crea link de reejecucion, pero el donwloader lo instala y ejecuta, consiguiendo el cifrado y añadiendo .MP3 a los ficheros afectados.

Dicha version del ELISTARA 34.14 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 14-3-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies