MAS VARIANTES DE RANSOMZEPTO, SUCESOR DEL LOCKY, QUE LLEGA EN MACROS DE DOCs CONTENIDOS EN LOS ZIPS ANEXADOS A EMAIL MALICIOSOS, Y AÑADE EXTENSION .ZEPTO

Publicado el 5 julio 2016 ¬ 11:12 amh.mscComentarios desactivados en MAS VARIANTES DE RANSOMZEPTO, SUCESOR DEL LOCKY, QUE LLEGA EN MACROS DE DOCs CONTENIDOS EN LOS ZIPS ANEXADOS A EMAIL MALICIOSOS, Y AÑADE EXTENSION .ZEPTO

Como ya indicamos la semana pasada, una nueva familia de malwares parecen ser los sucesores del LOCKY, pero añadiendo .ZEPTO a su extensión, y estos de ahora llegan en ZIP anexados a email maliciosos, que contiene ficheros DOC con macros, las cuales descargan los EXE “RANSOMZEPTO” propiamente dichos.

Dicha familia de ransomare codifica ficheros BAT, BMP, GIF, JPG, MID, PNG, TXT, WAV, XML, ZIP, etc… de todas las unidades mapeadas (menos %WinDir%)

Los pasamos a controlar con RANSOMZEPTO a partir de la versión 34.90 del ELISTARA DE HOY.

A los ficheros codificados además les cambia el nombre y añade .zepto a su extensión

Después de hacer lo previsto, se autoborra, sin dejar rastros en el registro.

Los hashes SHA1 de dos muestras recibidas ofrecen los siguientes datos:

“8A0316D21CF5767A83256E360459505E6C867F2E” -> 16bfb6b7.exe  278591
“741FD7484A47A5B6DBD56CB0900B1FD64F539175” -> 71e4ef08.exe  278016

EL preanalisis de virustotal ofrece el siguiente informe:

MD5 71e4ef080806be527ac4c3ecf5aa3374
SHA1 741fd7484a47a5b6dbd56cb0900b1fd64f539175
Tamaño del fichero 271.5 KB ( 278016 bytes )
SHA256:  0f3f32f5e9ef01c95c1e7c459fb1ddbaec9fe64382bab16893196e156ea8afad
Nombre:  71e4ef08.exe
Detecciones:  28 / 54
Fecha de análisis:  2016-07-05 08:56:07 UTC ( hace 3 minutos )
0
11

Antivirus  Resultado  Actualización
AVG  Generic_r.KVW  20160705
AVware  Trojan.Win32.Generic!BT  20160705
Ad-Aware  Trojan.GenericKD.3375612  20160705
AegisLab  Uds.Dangerousobject.Multi!c  20160705
AhnLab-V3  Trojan/Win32.Locky.N2039182509  20160705
Arcabit  Trojan.Generic.D3381FC  20160705
Avast  Win32:Dropper-gen [Drp]  20160705
Avira (no cloud)  TR/AD.Locky.Y.xqgl  20160705
BitDefender  Trojan.GenericKD.3375612  20160705
DrWeb  Trojan.Encoder.3976  20160705
ESET-NOD32  Win32/Filecoder.Locky.C  20160705
F-Secure  Trojan.GenericKD.3375612  20160705
GData  Trojan.GenericKD.3375612  20160705
K7AntiVirus  Trojan ( 004f00a01 )  20160705
K7GW  Trojan ( 004f00a01 )  20160705
Kaspersky  Trojan-Ransom.Win32.Locky.alj  20160705
Malwarebytes  Ransom.Locky  20160705
McAfee  RDN/Trojan-FJCG  20160705
McAfee-GW-Edition  BehavesLike.Win32.Backdoor.dc  20160705
eScan  Trojan.GenericKD.3375612  20160705
Microsoft  Ransom:Win32/Locky.A  20160705
Panda  Trj/Locky.A  20160704
Sophos  Troj/Ransom-DJF  20160705
Symantec  Heur.AdvML.C  20160701
Tencent  Win32.Trojan.Inject.Auto  20160705
TrendMicro  Ransom_LOCKY.DLDSW  20160705
TrendMicro-HouseCall  Ransom_LOCKY.DLDSW  20160705
VIPRE  Trojan.Win32.Generic!BT  20160705

Dicha versión del ELISTARA 34.90 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 5-7-2016

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies