MAIL MASIVO QUE SE ESTA RECIBIENDO ANEXANDO FICHERO ZIP CONTENIENDO RANSOMWARE THOR (VARIANTE DE LOCKY)

Otro mail malicioso anexando fichero malicioso, un ransomware THOR (de base Locky) contenido en un fichero ZIP, pasa a ser controlado a partir del ELISTARA 35.56 de hoy

El texto del mail que nos ha llegado con dicho ransomware es el siguiente:

MAIL MALICIOSO
______________

Asunto: Financial documents
De: “Julianne Hughes” <Hughes272@i-next.psi.br>
Fecha: 07/11/2016 12:16
Para: <destinatario>
Hi <destinatario>

These financial documents need to be uploaded on the system.
Please let me know if you experience any technical problems.
Best Wishes,
Julianne Hughes
anexado: fin_docs_f7b64e90.zip   (Conteniendo NRV_48I5A6E_.vbs)

__________________
FIN MAIL MALICIOSO
El preanalisis de virustotal ofrece el siguiente informe:

MD5 5034f5a10764485cb5dbc6369d8349c1
SHA1 c8e4a1a56536d88110dbdefe46a8c8d6c35c2ca9
File size 7.1 KB ( 7276 bytes )
SHA256:  309fc192093c166416d471f743a331fd1ce43abaa9f585b399a07833f8407a8a
File name:  NRV_48I5A6E_.vbs
Detection ratio:  7 / 55
Analysis date:  2016-11-07 14:42:28 UTC ( 2 minutes ago )
0
1

Antivirus  Result  Update
Antiy-AVL  Trojan/Generic.ASVCS3S.42C  20161107
Avira (no cloud)  HTML/ExpKit.Gen6  20161107
DrWeb  SCRIPT.Virus  20161107
ESET-NOD32  VBS/TrojanDownloader.Agent.OPP  20161107
NANO-Antivirus  Trojan.Script.Vbs-heuristic.druvzi  20161107
Qihoo-360  virus.vbs.gen.75  20161107
Tencent  Js.Trojan.Raas.Auto  20161107

Como se ve es aun muy poco detectado por los actuales AV, por lo que lo enviamos a McAfee y Kaspersky para que añadan su control en sus nuevas versiones de AV

Dicha versión del ELISTARA 35.56 que lo detecta y elimina, estará disponible en nuestra web a partir del 8-11-2016

saludos

ms, 7-11-2016