NUEVA VARIANTE DE RANSOMWARE ZEPTO , SUCESOR DEL LOCKY, QUE VIENE DE ZIP QUE CONTIENE UN .JS QUE DESCIFRA Y DESCARGA UNA DLL QUE LO INSTALA
NUEVA VARIANTE DE RANSOMWARE ZEPTO , SUCESOR DEL LOCKY, QUE VIENE DE ZIP QUE CONTIENE UN .JS QUE DESCIFRA Y DESCARGA UNA DLL QUE LO INSTALA
Un .js accede a un link que descifra un fichero y descarga la DLL resultante, que infecta con el ransomware ZEPTO
Dichos ZEPTO son versiones “mejoradas” del LOCKY que actualmente ha cedido su lugar a estas nuevas variantes que cifran ficheros y añaden .ZEPTO al final de la extension de los ficheros cifrados.
Dicho .js que decodifica y descarga la DLL de marras ofrece con el virustotal el siguiente informe:
MD5 14e846fee8d43e2c04b2b67f86cd8e63
SHA1 2efa3f540a9591d947a36d841127488d5f238733
File size 73.5 KB ( 75305 bytes )
SHA256: dda978dad646060cb5fe9ff8b1fc2a9c5ddc7535a9af53a499b8534f535609da
File name: paycheck_pdf_2fe1bb59.js
Detection ratio: 28 / 56
Analysis date: 2016-09-01 09:02:33 UTC ( 6 minutes ago )
0
1
Antivirus Result Update
AVG JS/Downloader.Agent.47_R 20160901
Ad-Aware Trojan.JS.Agent.NPE 20160901
AegisLab Troj.Downloader.Script!c 20160901
AhnLab-V3 JS/Obfus.S116 20160901
Antiy-AVL Trojan/Generic.ASMalwRG.6E 20160901
Arcabit Trojan.JS.Agent.NPE 20160901
Avira (no cloud) JS/Dldr.Kript.830162 20160901
Baidu JS.Trojan-Downloader.Nemucod.jj 20160901
BitDefender Trojan.JS.Agent.NPE 20160901
Cyren JS/Locky.AT 20160901
DrWeb JS.DownLoader.2087 20160901
ESET-NOD32 JS/TrojanDownloader.Nemucod.ATU 20160901
Emsisoft Trojan.JS.Agent.NPE (B) 20160901
F-Prot JS/Locky.AT 20160901
F-Secure Trojan.JS.Agent.NPE 20160901
Fortinet JS/Agent.NPE!tr.dldr 20160901
GData Trojan.JS.Agent.NPE 20160901
Ikarus Trojan-Ransom.Script.Locky 20160901
Kaspersky Trojan-Downloader.JS.Agent.mgx 20160901
McAfee JS/Nemucod.mr 20160901
eScan Trojan.JS.Agent.NPE 20160901
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160901
Qihoo-360 virus.js.gen.1 20160901
Rising Downloader.Generic!8.141-deWABwJdUi (cloud) 20160901
Sophos JS/Dwnldr-OJP 20160901
Symantec JS.Downloader 20160901
Tencent Js.Trojan.Raas.Auto 20160901
TrendMicro-HouseCall JS_NEMUCOD.SMAA4 20160901
El preanalisis de virustotal de la DLL final, que infecta con el ZEPTO ofrece el siguiente informe:
SHA1 7babacda0ae419bc1e1d742dd5b54b13c261ece5
File size 155.5 KB ( 159232 bytes )
SHA256: 26c43cb9a4577db23b40d76068f261d82e440d94bee0fba0f5cb6a54dd5550dd
File name: Ru5YYEvgZGNd3U3.dll
Detection ratio: 32 / 58
Analysis date: 2016-09-01 08:47:07 UTC ( 4 minutes ago )
0
1
Antivirus Result Update
AVG Crypt5.CMHC 20160901
Ad-Aware Trojan.GenericKD.3503569 20160901
AegisLab Ransom.Locky.Dldvfk!c 20160901
AhnLab-V3 Trojan/Win32.Locky.N2093283173 20160901
Antiy-AVL Trojan/Win32.TSGeneric 20160901
Arcabit Trojan.Generic.D3575D1 20160901
Avast Win32:Malware-gen 20160901
Avira (no cloud) TR/Crypt.Xpack.rehsv 20160901
Baidu Win32.Trojan.WisdomEyes.151026.9950.9997 20160901
BitDefender Trojan.GenericKD.3503569 20160901
Bkav HW32.Packed.FF44 20160831
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725
DrWeb Trojan.Encoder.5824 20160901
ESET-NOD32 a variant of Win32/Kryptik.FFKQ 20160901
Emsisoft Trojan.Win32.Agent (A) 20160901
F-Secure Trojan.GenericKD.3503569 20160901
Fortinet W32/Kryptik.FFKQ!tr 20160901
GData Trojan.GenericKD.3503569 20160901
Invincea ransom.win32.nymaim.f 20160830
Kaspersky Trojan-Ransom.Win32.Locky.bop 20160901
Malwarebytes Ransom.Locky 20160901
McAfee Ransomware-FRS!9F6A2A060B07 20160901
McAfee-GW-Edition BehavesLike.Win32.Ramnit.cc 20160901
eScan Trojan.GenericKD.3503569 20160901
Panda Generic Suspicious 20160831
Rising Malware.Generic!aZYAH4v3rJS@1 (thunder) 20160901
Sophos Mal/RansomDl-B 20160901
Symantec Ransom.Locky 20160901
Tencent Win32.Trojan.Raas.Auto 20160901
TrendMicro Ransom_LOCKY.DLDVFK 20160901
TrendMicro-HouseCall Ransom_LOCKY.DLDVFK 20160901
ViRobot Trojan.Win32.Locky.159232.Z[h] 20160901
a partir del ELISTARA 35.11 pasamos a controlar esta nueva variante de ransomware ZEPTO, sucesor del LOCKY, de los que están proliferando distintas variantes.
saludos
ms, 1.9.2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.