AUNQUE HOY NOS HAYA SORPRENDIDO EL AUGE DEL CRYPTOLOCKER POR EL MAIL DE ENDESA, NO HAY QUE OLVIDAR LOS LOCKY …

El ingenio de escoger como falso remitente a ENDESA y aparentar el envio de una factura para cuya visualización hay que pulsar en un enlace (malicioso) es similar al que en su día idearon con el falso mail de Correos, que infectó del mismo modo a tantos miles de usuarios, y ahora mas de lo mismo con este phishing de ENDESA.

Pero aparte de esta “estrella” de hoy, el Cryptolocker de “Endesa” no hay que olvidar a otro de los ransomware de moda, el LOCKY, del que vamos recibiendo incidencias, esta vez por ejecutar ficheros anexados a mails no solicitados, los cuales generan bien un downloader NEMUCODF, bien un JS, bien un DOC cion macros maliciosas, que al final instalan un EXE con el LOCKY, cifran los ficheros de datos y una vez terminada la “faena”, desaparece del ordenador (a diferencia del Cryptolocker, que se relanza en el siguiente reinicio si no se elimina especificamente)

Los hashes identificadores de los tres Lockys recibidos hoy y pasanos a controlar con ELISTARA, son los siguientes:

“E6991557888156CD1D1AEA8D27483B8DBC336DCB” -> gh5thg4.exe 116736
“E9F90487EEF1E59E9724FD491879E696E39DDC72” -> 908o78jh5g4.exe 116736
“88916721C1F8F787425D0F110DE197ADF094F492” -> 09g44g4g.exe 184320

de los cuales el último indicado tiene un icono de una tableta con una nota , y es el que pasamos a preanalizar con el VIRUSTOTAL:

MD5 21b4d4b9bc90ec0bb654a2f39c510f02
SHA1 88916721c1f8f787425d0f110de197adf094f492
Tamaño del fichero 180.0 KB ( 184320 bytes )
SHA256: 9b489a00e38c2e238caa35a3e1d707c26c7b014809bc27b51ecba6660c92c5ff
Nombre: 09g44g4g.exe
Detecciones: 46 / 57
Fecha de análisis: 2016-05-31 15:07:47 UTC ( hace 0 minutos )
0 2

Antivirus Resultado Actualización
ALYac Backdoor.Agent.ABVI 20160531
AVG Generic_r.JEV 20160531
AVware Trojan.Win32.Generic.pak!cobra 20160531
Ad-Aware Backdoor.Agent.ABVI 20160531
AegisLab Suspicious.Cloud.Gen!c 20160531
AhnLab-V3 Trojan/Win32.Locky 20160531
Antiy-AVL Trojan/Win32.TSGeneric 20160531
Arcabit Backdoor.Agent.ABVI 20160531
Avast Win32:Malware-gen 20160531
Avira (no cloud) TR/FileCoder.Y.121 20160531
Baidu Win32.Trojan.Kryptik.afw 20160530
BitDefender Backdoor.Agent.ABVI 20160531
Bkav W32.TrosranterLTAJ.Trojan 20160531
CAT-QuickHeal Ransomware.Locky.MUE.S5 20160531
Cyren W32/Locky.AI.gen!Eldorado 20160531
DrWeb Trojan.Encoder.4489 20160531
ESET-NOD32 a variant of Win32/Kryptik.EXMU 20160531
Emsisoft Backdoor.Agent.ABVI (B) 20160531
F-Prot W32/Locky.AI.gen!Eldorado 20160531
F-Secure Backdoor.Agent.ABVI 20160531
Fortinet W32/Kryptik.EXLA!tr 20160531
GData Backdoor.Agent.ABVI 20160531
Ikarus Trojan.Win32.Filecoder 20160531
Jiangmin Trojan.Locky.rb 20160531
K7AntiVirus Trojan ( 004ef8491 ) 20160531
K7GW Trojan ( 004ef8491 ) 20160531
Kaspersky Trojan-Ransom.Win32.Locky.yr 20160531
Malwarebytes Ransom.Locky 20160531
McAfee RDN/Ransomware-FKO 20160531
McAfee-GW-Edition BehavesLike.Win32.Ransom.cc 20160530
eScan Backdoor.Agent.ABVI 20160531
Microsoft Ransom:Win32/Locky.A 20160531
NANO-Antivirus Trojan.Win32.Encoder.ecotsf 20160531
Panda Trj/Genetic.gen 20160531
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160531
Rising Malware.XPACK-HIE/Heur!1.9C48-eDEurCpPNdI (Cloud) 20160531
SUPERAntiSpyware Ransom.Locky/Variant 20160531
Sophos Troj/Ransom-CZH 20160531
Symantec Trojan.Cryptolocker.AF 20160531
Tencent Win32.Trojan.Raas.Auto 20160531
TrendMicro Ransom_LOCKY.CBQ165H 20160531
TrendMicro-HouseCall Ransom_LOCKY.CBQ165H 20160531
VIPRE Trojan.Win32.Generic.pak!cobra 20160531
Yandex Trojan.Locky! 20160530
Zillya Trojan.PCryptGen.Win32.4 20160531
nProtect Ransom/W32.Locky.184320 20160531

Dicha versión del ELISTARA 34.66 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 31-5-2016