MAS VARIANTES DE RANSOMWARES ZEPTO (SUCESOR DEL LOCKY) DESCARGADOS POR FICHEROS WSF QUE LLEGAN ANEXADOS A MAILS MALICIOSOS

Tal como venimos diciendo, la ejecución de ficheros .wsf descargan e instalan ransomware tipo ZEPTO cuyos hashes son:

“EC873D5E67EA6FC3C054B98FC1A582BC8A6BB4ED” -> profile-7ae4.wsf  87039

y de varios ZEPTO:

“9632A1C33213B04D3A25798A9AD70989C574C024” -> 0a90fc4d.exe  143872
“3DF4648FCBB67A84D250DBAB6E0B0B2BE3583190” -> 1745d5c3.exe  143872
“1F065A2851BEF91586E86937F50BCEED41D07C25” -> 6b997fee.exe  143872
“27C96E52028B6483084242D5B105D606DA9AC545” -> a9fa4c83.exe  143872

El preanalisis de virustotal del downloader con extension WSF ofrece el siguiente informe:

MD5 a9a87a294fb66e793b8feb9f0f28a899
SHA1 ec873d5e67ea6fc3c054b98fc1a582bc8a6bb4ed
Tamaño del fichero 85.0 KB ( 87039 bytes )
SHA256:  bd73e91e5afad7652b6c3cb9b2fd219e1f9e0840d4008dd10ec10495ca439314
Nombre:  profile-7ae4.wsf
Detecciones:  31 / 54
Fecha de análisis:  2016-07-15 10:42:03 UTC ( hace 3 minutos )
0
1

Antivirus  Resultado  Actualización
ALYac  Trojan.JS.Downloader.DPK  20160715
AVG  JS/Downloader.Agent  20160715
Ad-Aware  Trojan.JS.Downloader.DPK  20160715
AegisLab  Troj.Downloader.Js.Cryptoload!c  20160715
AhnLab-V3  JS/Obfus.S84  20160715
Antiy-AVL  Trojan/Generic.ASHS.50  20160715
Avast  JS:Downloader-DFN [Trj]  20160715
Avira (no cloud)  VBS/Dldr.Nemucod.AM  20160715
Baidu  JS.Trojan.Nemucod.ff  20160715
BitDefender  Trojan.JS.Downloader.DPK  20160715
CAT-QuickHeal  JS.Swabfex.MW  20160715
Cyren  JS/Locky.AN  20160715
DrWeb  JS.DownLoader.1778  20160715
Emsisoft  Trojan.JS.Downloader.DPK (B)  20160715
F-Prot  JS/Locky.AN  20160715
F-Secure  Trojan.JS.Downloader.DPK  20160715
Fortinet  JS/Nemucod.3FD6!tr.dldr  20160715
GData  Trojan.JS.Downloader.DPK  20160715
Ikarus  Trojan-Ransom.Script.Locky  20160715
Kaspersky  Trojan-Downloader.JS.Cryptoload.abh  20160715
McAfee  JS/Nemucod.jt  20160715
McAfee-GW-Edition  JS/Nemucod.jt  20160715
eScan  Trojan.JS.Downloader.DPK  20160715
Microsoft  TrojanDownloader:JS/Nemucod.FJ  20160715
NANO-Antivirus  Trojan.Script.Heuristic-js.iacgm  20160715
Sophos  JS/Dwnldr-NQH  20160715
Symantec  JS.Downloader  20160715
TrendMicro  JS_LOCKY.DLDVE  20160715
TrendMicro-HouseCall  JS_LOCKY.DLDVE  20160715
ViRobot  JS.S.Downloader.87039[h]  20160715
nProtect  Trojan.JS.Downloader.DPK  20160715

 

y del último del los ZEPTO relacionados, el informe del pr4eanalisis de virustotal es el siguiente:

MD5 a9fa4c83b8378cc71b0ff6f87b4db87b
SHA1 27c96e52028b6483084242d5b105d606da9ac545
Tamaño del fichero 140.5 KB ( 143872 bytes )
SHA256:  a1b9c7111b62dc0ccf6e7eee9fad7ba3e795234105f9e3e00f15b898840ff4da
Nombre:  a9fa4c83.exe
Detecciones:  36 / 55
Fecha de análisis:  2016-07-15 10:47:28 UTC ( hace 2 minutos )
0
1

Antivirus  Resultado  Actualización
ALYac  Trojan.GenericKD.3404598  20160715
AVG  Crypt_r.CCU  20160715
AVware  Trojan.Win32.Generic.pak!cobra  20160715
Ad-Aware  Trojan.GenericKD.3404598  20160715
AegisLab  Troj.Ransom.W32.Locky!c  20160715
AhnLab-V3  Trojan/Win32.Locky.N2046481361  20160715
Antiy-AVL  Trojan/Win32.TSGeneric  20160715
Arcabit  Trojan.Generic.D33F336  20160715
Avast  Win32:Trojan-gen  20160715
Avira (no cloud)  TR/Crypt.ZPACK.nuox  20160715
Baidu  Win32.Trojan.Kryptik.als  20160715
BitDefender  Trojan.GenericKD.3404598  20160715
Bkav  HW32.Packed.BBD9  20160714
Cyren  W32/Ransom.LHWW-0743  20160715
ESET-NOD32  a variant of Win32/Kryptik.FCFE  20160715
Emsisoft  Trojan.GenericKD.3404598 (B)  20160715
F-Secure  Trojan.GenericKD.3404598  20160715
Fortinet  W32/Kryptik.FCCT!tr  20160715
GData  Trojan.GenericKD.3404598  20160715
Ikarus  Trojan.Win32.Crypt  20160715
K7AntiVirus  Riskware ( 0040eff71 )  20160715
K7GW  Riskware ( 0040eff71 )  20160715
Kaspersky  Trojan-Ransom.Win32.Locky.anm  20160715
Malwarebytes  Ransom.Locky  20160715
McAfee  RDN/Ransom  20160715
McAfee-GW-Edition  BehavesLike.Win32.Ransom.cc  20160715
eScan  Trojan.GenericKD.3404598  20160715
Microsoft  Ransom:Win32/Locky.A  20160715
Panda  Trj/GdSda.A  20160714
Qihoo-360  HEUR/QVM20.1.6F4E.Malware.Gen  20160715
Sophos  Troj/Ransom-CZH  20160715
Symantec  Trojan.Cryptolocker.AF  20160715
TrendMicro  Ransom_LOCKY.DLXFN  20160715
TrendMicro-HouseCall  Ransom_LOCKY.DLXFN  20160715
VIPRE  Trojan.Win32.Generic.pak!cobra  20160715
nProtect  Trojan.GenericKD.3404598  20160715

Dicha versión del ELISTARA 34.98 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 15-7-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies