MAS VARIANTES DE RANSOMWARES ZEPTO (SUCESOR DEL LOCKY) DESCARGADOS POR FICHEROS WSF QUE LLEGAN ANEXADOS A MAILS MALICIOSOS
Tal como venimos diciendo, la ejecución de ficheros .wsf descargan e instalan ransomware tipo ZEPTO cuyos hashes son:
“EC873D5E67EA6FC3C054B98FC1A582BC8A6BB4ED” -> profile-7ae4.wsf 87039
y de varios ZEPTO:
“9632A1C33213B04D3A25798A9AD70989C574C024” -> 0a90fc4d.exe 143872
“3DF4648FCBB67A84D250DBAB6E0B0B2BE3583190” -> 1745d5c3.exe 143872
“1F065A2851BEF91586E86937F50BCEED41D07C25” -> 6b997fee.exe 143872
“27C96E52028B6483084242D5B105D606DA9AC545” -> a9fa4c83.exe 143872
El preanalisis de virustotal del downloader con extension WSF ofrece el siguiente informe:
MD5 a9a87a294fb66e793b8feb9f0f28a899
SHA1 ec873d5e67ea6fc3c054b98fc1a582bc8a6bb4ed
Tamaño del fichero 85.0 KB ( 87039 bytes )
SHA256: bd73e91e5afad7652b6c3cb9b2fd219e1f9e0840d4008dd10ec10495ca439314
Nombre: profile-7ae4.wsf
Detecciones: 31 / 54
Fecha de análisis: 2016-07-15 10:42:03 UTC ( hace 3 minutos )
0
1
Antivirus Resultado Actualización
ALYac Trojan.JS.Downloader.DPK 20160715
AVG JS/Downloader.Agent 20160715
Ad-Aware Trojan.JS.Downloader.DPK 20160715
AegisLab Troj.Downloader.Js.Cryptoload!c 20160715
AhnLab-V3 JS/Obfus.S84 20160715
Antiy-AVL Trojan/Generic.ASHS.50 20160715
Avast JS:Downloader-DFN [Trj] 20160715
Avira (no cloud) VBS/Dldr.Nemucod.AM 20160715
Baidu JS.Trojan.Nemucod.ff 20160715
BitDefender Trojan.JS.Downloader.DPK 20160715
CAT-QuickHeal JS.Swabfex.MW 20160715
Cyren JS/Locky.AN 20160715
DrWeb JS.DownLoader.1778 20160715
Emsisoft Trojan.JS.Downloader.DPK (B) 20160715
F-Prot JS/Locky.AN 20160715
F-Secure Trojan.JS.Downloader.DPK 20160715
Fortinet JS/Nemucod.3FD6!tr.dldr 20160715
GData Trojan.JS.Downloader.DPK 20160715
Ikarus Trojan-Ransom.Script.Locky 20160715
Kaspersky Trojan-Downloader.JS.Cryptoload.abh 20160715
McAfee JS/Nemucod.jt 20160715
McAfee-GW-Edition JS/Nemucod.jt 20160715
eScan Trojan.JS.Downloader.DPK 20160715
Microsoft TrojanDownloader:JS/Nemucod.FJ 20160715
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160715
Sophos JS/Dwnldr-NQH 20160715
Symantec JS.Downloader 20160715
TrendMicro JS_LOCKY.DLDVE 20160715
TrendMicro-HouseCall JS_LOCKY.DLDVE 20160715
ViRobot JS.S.Downloader.87039[h] 20160715
nProtect Trojan.JS.Downloader.DPK 20160715
y del último del los ZEPTO relacionados, el informe del pr4eanalisis de virustotal es el siguiente:
MD5 a9fa4c83b8378cc71b0ff6f87b4db87b
SHA1 27c96e52028b6483084242d5b105d606da9ac545
Tamaño del fichero 140.5 KB ( 143872 bytes )
SHA256: a1b9c7111b62dc0ccf6e7eee9fad7ba3e795234105f9e3e00f15b898840ff4da
Nombre: a9fa4c83.exe
Detecciones: 36 / 55
Fecha de análisis: 2016-07-15 10:47:28 UTC ( hace 2 minutos )
0
1
Antivirus Resultado Actualización
ALYac Trojan.GenericKD.3404598 20160715
AVG Crypt_r.CCU 20160715
AVware Trojan.Win32.Generic.pak!cobra 20160715
Ad-Aware Trojan.GenericKD.3404598 20160715
AegisLab Troj.Ransom.W32.Locky!c 20160715
AhnLab-V3 Trojan/Win32.Locky.N2046481361 20160715
Antiy-AVL Trojan/Win32.TSGeneric 20160715
Arcabit Trojan.Generic.D33F336 20160715
Avast Win32:Trojan-gen 20160715
Avira (no cloud) TR/Crypt.ZPACK.nuox 20160715
Baidu Win32.Trojan.Kryptik.als 20160715
BitDefender Trojan.GenericKD.3404598 20160715
Bkav HW32.Packed.BBD9 20160714
Cyren W32/Ransom.LHWW-0743 20160715
ESET-NOD32 a variant of Win32/Kryptik.FCFE 20160715
Emsisoft Trojan.GenericKD.3404598 (B) 20160715
F-Secure Trojan.GenericKD.3404598 20160715
Fortinet W32/Kryptik.FCCT!tr 20160715
GData Trojan.GenericKD.3404598 20160715
Ikarus Trojan.Win32.Crypt 20160715
K7AntiVirus Riskware ( 0040eff71 ) 20160715
K7GW Riskware ( 0040eff71 ) 20160715
Kaspersky Trojan-Ransom.Win32.Locky.anm 20160715
Malwarebytes Ransom.Locky 20160715
McAfee RDN/Ransom 20160715
McAfee-GW-Edition BehavesLike.Win32.Ransom.cc 20160715
eScan Trojan.GenericKD.3404598 20160715
Microsoft Ransom:Win32/Locky.A 20160715
Panda Trj/GdSda.A 20160714
Qihoo-360 HEUR/QVM20.1.6F4E.Malware.Gen 20160715
Sophos Troj/Ransom-CZH 20160715
Symantec Trojan.Cryptolocker.AF 20160715
TrendMicro Ransom_LOCKY.DLXFN 20160715
TrendMicro-HouseCall Ransom_LOCKY.DLXFN 20160715
VIPRE Trojan.Win32.Generic.pak!cobra 20160715
nProtect Trojan.GenericKD.3404598 20160715
Dicha versión del ELISTARA 34.98 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 15-7-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.