MAIL MASIVO ESCUETO ANEXANDO FICHERO QUE INSTALA RANSOMWARE LOCKY

Publicado el 9 mayo 2016 ¬ 11:51 amh.mscComentarios desactivados en MAIL MASIVO ESCUETO ANEXANDO FICHERO QUE INSTALA RANSOMWARE LOCKY

En mail masivo con simple encabezamiento del tipo:
Asunto:
De: <m.baumert@koepenick-nord.de>
Fecha: 07/05/2016 2:57
Para: “sat”

 

llega anexado un ZIP “INVOICE_5910_sat.zip” que contiene un JS: document_copy.js que es un instalador del ransomware LOCKY, que en este caso tiene por nombre S5G64114Gt.exe

A partir del ELISTARA 34.51 de hoy pasamos a controlar tanto el JS instalador como el EXE propio del ransomware indicado.

Los preanalisis de virustotal de ambos ficheros ofrecen los siguientes informes:
el del document_copy.js (instalador):

SHA256: f134d0d7e4b5638ad0288abe80e57f4d9224a2afeb3379056ab757a2e364b8cd
Nombre: document_copy.js
Detecciones: 17 / 54
Fecha de análisis: 2016-05-09 09:21:20 UTC ( hace 13 minutos )
0 1

Antivirus Resultado Actualización
ALYac Trojan.JS.RJZ 20160509
AVG JS/Downloader.Agent 20160509
Ad-Aware Trojan.JS.RJZ 20160509
Arcabit HEUR.JS.Trojan.b 20160509
BitDefender Trojan.JS.RJZ 20160509
Cyren JS/Locky.U5!Camelot 20160509
ESET-NOD32 JS/TrojanDownloader.Nemucod.WD 20160509
F-Secure Trojan.JS.RJZ 20160509
Fortinet JS/Nemucod.WD!tr.dldr 20160509
GData Trojan.JS.RJZ 20160509
Ikarus Trojan-Downloader.JS.Nemucod 20160509
McAfee JS/Nemucod.hq 20160509
McAfee-GW-Edition JS/Nemucod.hq 20160509
eScan Trojan.JS.RJZ 20160509
Microsoft TrojanDownloader:JS/Swabfex.P 20160509
Sophos JS/Dldr-LU 20160509
Tencent Js.Trojan.Raas.Auto 20160509

y el del S5G64114Gt.exe (ransomware LOCKY propiamente dicho):
SHA256: db523c270d0af7c1916d1834eeb4d61dd914712a52c050326c6049d448bde24a
Nombre: S5G64114Gt.exe
Detecciones: 5 / 57
Fecha de análisis: 2016-05-09 09:39:54 UTC ( hace 1 minuto )
0 1

Antivirus Resultado Actualización
AegisLab Troj.Downloader.W32.Upatre.mCSi 20160509
Baidu Win32.Trojan.Kryptik.pd 20160506
Bkav HW32.Packed.968C 20160506
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.cc 20160509
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160509
Como se puede ver, si bien el descargador es bastante controlado, porque es de la familia NEMUCOD, tambien utilizado para descargas del nuevo ransomware ALPHA y del tan conocido TESLACRYPT, pero en cambio el fichero ransomware que descargaen esta ocasión, solo lo controlan actualmente 5 de los 57 AV, dado que es de nueva difusión a través del mail masivo arriba indicado.
Dicha versión del ELISTARA 34.61 que detecta y elimina a ambos, estará disponible en nuestra web a partir de las 18 h CEST de hoy
saludos

ms, 9-5-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies