EL PRIMER MAIL QUE RECIBIMOS HOY, COMO ESPERABAMOS, ES OTRO DE LOS QUE ANEXA FICHERO INFECTOR DEL RANSOMWARE LOCKY AESIR

Publicado el 23 noviembre 2016 ¬ 9:59 amh.mscComentarios desactivados en EL PRIMER MAIL QUE RECIBIMOS HOY, COMO ESPERABAMOS, ES OTRO DE LOS QUE ANEXA FICHERO INFECTOR DEL RANSOMWARE LOCKY AESIR

Sigue la moda de los ransomware LOCKY-AESIR, en nuevo mail masivo con este texto:

 

MAIL MASIVO MALICIOSO:
______________________

Asunto: Please note
De: “Fidel Levine” <Levine.Fidel@sat-albatros.com>
Fecha: 23/11/2016 0:54
Para: <destinatario>

Dear “destinatario”

Your tax bill debt due date is today. Please fulfill the debt.
All the information and payment instructions can be found in the attached document.
Best Wishes,
Fidel Levine
Tax Collector
Te.: (310) 732-61-32

anexo:tax_”destinatario”.zip   (conteniendo S82FIL6697IM1X.js que instala nueva variante de ransomware LOCKY-AESIR)

_________________________
FIN MAIL MASIVO MALICIOSO
Dicho fichero anexado es un ZIP que contiene un .JS instalador de otra variante del ransomware de moda, el LOCKY-AESIR, que pasamos a controlar a partir del ELISTARA 35.68 de hoy, tanto el .js como la DLL que descarga e instala dicho ransomware.

El preanalisis de virustotal del .js ofrece el siguiente informe:
MD5 2db2426eae0a605dd818a0ca81add500
SHA1 304c75f8c8a84d617d76af1860672ac28d82e072
File size 14.8 KB ( 15192 bytes )
SHA256:  c2f6c20dc06be67d556b8c2ebd599f679c51e3a29498c5bc8c425dfcc6708a74
File name:  S82FIL6697IM1X.js
Detection ratio:  25 / 54
Analysis date:  2016-11-23 08:37:01 UTC ( 7 minutes ago )
0
1

Antivirus  Result  Update
Ad-Aware  Trojan.JS.Downloader.HBP  20161123
AegisLab  Js.Gen!c  20161123
AhnLab-V3  JS/Obfus.S172  20161123
Antiy-AVL  Trojan/Generic.ASVCS3S.40F  20161123
Arcabit  Trojan.JS.Downloader.HBP  20161123
Baidu  JS.Trojan-Downloader.Nemucod.pa  20161123
BitDefender  Trojan.JS.Downloader.HBP  20161123
Cyren  JS/Locky.BF!Eldorado  20161123
DrWeb  JS.DownLoader.2797  20161123
ESET-NOD32  JS/TrojanDownloader.Nemucod.BPC  20161123
Emsisoft  Trojan.JS.Downloader.HBP (B)  20161123
F-Prot  JS/Locky.BF!Eldorado  20161123
F-Secure  Trojan.JS.Downloader.HBP  20161123
Fortinet  JS/Nemucod.B8E8!tr.dldr  20161123
GData  Trojan.JS.Downloader.HBP  20161123
Ikarus  Trojan-Ransom.Script.Locky  20161123
Kaspersky  Trojan-Downloader.JS.Agent.asdfws  20161123
McAfee  JS/Nemucod.pt  20161123
eScan  Trojan.JS.Downloader.HBP  20161123
Microsoft  TrojanDownloader:JS/Nemucod  20161123
NANO-Antivirus  Trojan.Script.Heuristic-js.iacgm  20161123
Qihoo-360  trojan.js.downloader.1  20161123
Sophos  Troj/JSDldr-VC  20161123
Symantec  JS.Downloader.D  20161123
Tencent  Js.Trojan.Raas.Auto  20161123

Como se puede ver, tanto McAfee como Kasperky ya controlan el .js descargador de la DLL en cuestión, que tambien pasamos a controlar con el ELISTARA 35.68 y cuyo preanalisis de virustotal ofrece este otro informe:

MD5 7d5f5196a2100cb2777e6b4adf7f36bc
SHA1 ccc328976c0ed465c711800faa85189558770e1c
File size 115.5 KB ( 118272 bytes )
SHA256:  acf7cfd5087947ce2ce9923159a2243ad8d43f1a38561a337f429484359a5f3a
File name:  rx2q2eUito.dll
Detection ratio:  22 / 57
Analysis date:  2016-11-23 08:48:11 UTC ( 3 minutes ago )
0
1

Antivirus  Result  Update
Ad-Aware  Trojan.RanSerKD.3743839  20161123
AhnLab-V3  Trojan/Win32.Crypt.R190976  20161123
Arcabit  Trojan.RanSerKD.D39205F  20161123
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9907  20161123
BitDefender  Trojan.RanSerKD.3743839  20161123
Bkav  HW32.Packed.C004  20161123
CrowdStrike Falcon (ML)  malicious_confidence_100% (D)  20161024
ESET-NOD32  a variant of Win32/GenKryptik.LML  20161123
Emsisoft  Trojan.RanSerKD.3743839 (B)  20161123
F-Secure  Trojan.RanSerKD.3743839  20161123
Fortinet  W32/Kryptik.FKFC!tr  20161123
GData  Trojan.RanSerKD.3743839  20161123
Ikarus  Trojan-Ransom.Locky  20161123
Invincea  virus.win32.sality.at  20161018
Kaspersky  Trojan-Ransom.Win32.Locky.wer  20161123
Malwarebytes  Ransom.Locky  20161123
McAfee-GW-Edition  BehavesLike.Win32.Generic.cc  20161123
eScan  Trojan.RanSerKD.3743839  20161123
Qihoo-360  HEUR/QVM39.1.0000.Malware.Gen  20161123
Rising  Malware.Generic!q2VF8cj8vuG@1 (thunder)  20161123
Symantec  Heur.AdvML.B  20161123
Tencent  Win32.Trojan.Raasj.Auto  20161123

Dicha versión del ELISTARA 35.68 que lo detecta y elimina, estará disponible en nuestra web a partir del 24-11-2016.

saludos

ms, 23-11-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies