MAS Y MAS VARIANTES DE RANSOMWARES DE HOY, EL SHIT y ultimamente el THOR, éste llegado en 3 ultimos EXE recibidos… (TODOS ELLOS DERIVADOS DEL LOCKY-ZEPTO-ODIN-…Y AHORA SHIT Y THOR)

LOS QUE AÑADEN .SHIT A LA EXTENSION DE LOS FICHEROS CIFRADOS
____________________________________________________________

Hoy se han despertado nuevos ransomwares, o variantes de algunos ya conocidos, como el SHIT, que no es mas que una variante de los que ultimamente añadian .ODIN a la extensión de los ficheros cifrados, y es tan prolifico que de todas partes nos llegan muestras, como esta, que pasamos a controlar a partir del ELISTARA 35.49 de hoy y cuyo preanalisis de virustotal ofrece el siguiente informe

MD5 96fa81981d8819b22a83f041c7c18192
SHA1 707ef9ac8527e5d6127a57a9018afbd4d1c074ff
File size 125.8 KB ( 128864 bytes )
SHA256:  5806f1c8aa8c982b1534ea37fcee1c13e3115570a615adaba1b78eb6e13f7e27
File name:  saved letter 363CC14.js
Detection ratio:  24 / 55
Analysis date:  2016-10-25 08:50:58 UTC ( 0 minutes ago )
0
1

Antivirus  Result  Update
Ad-Aware  Generic.JS.NemucodA.B47AB966  20161025
AegisLab  Troj.Downloader.Script!c  20161025
AhnLab-V3  JS/Obfus.S158  20161025
Arcabit  Generic.JS.NemucodA.B47AB966  20161025
Avira (no cloud)  JS/Dldr.Locky.VALY  20161025
BitDefender  Generic.JS.NemucodA.B47AB966  20161025
Bkav  JS.eIframeDownloader.63B2  20161024
Cyren  JS/Locky.BD!Eldorado  20161025
DrWeb  SCRIPT.Virus  20161025
ESET-NOD32  JS/Kryptik.BBQ  20161025
Emsisoft  Generic.JS.NemucodA.B47AB966 (B)  20161025
F-Prot  JS/Locky.BD!Eldorado  20161025
F-Secure  Generic.JS.NemucodA.B47AB966  20161025
Fortinet  JS/Kryptik.BBQ!tr  20161025
GData  Generic.JS.NemucodA.B47AB966  20161025
Ikarus  Trojan-Downloader.JS.Nemucod  20161025
Kaspersky  HEUR:Trojan-Downloader.Script.Generic  20161025
McAfee  JS/Nemucod.ot  20161025
eScan  Generic.JS.NemucodA.B47AB966  20161025
NANO-Antivirus  Trojan.Script.Heuristic-js.iacgm  20161025
Qihoo-360  virus.js.gen.1  20161025
Symantec  JS.Downloader  20161025
TrendMicro  JS_NEMUCOD.SMAA9  20161025
TrendMicro-HouseCall  JS_NEMUCOD.SMAA9  20161025

Al igual que los anteriores, llega en un ZIP que contiene un .js (tambien los hay con .wsf) cuya ejecución instala y ejecuta un EXE o DLL que cifra los ficheros de datos y les añade la extensión .SHIT , en lugar de LOCKY, ZEPTO u ODIN que hacian las versiones anteriores de similar ransomware.

Las .DLL generadas por los de las Noticias publicadas del mismo hasta ahora, son los siguientes:

UIgHdb1.dll , QwfuP8WM3FnfiVi.dll , 4hUz36jLK0vnh64h.dll
Y OTROS QUE AÑADEN .THOR A LA EXTENSION DE LOS CIFRADOS:
_____________________________________________________________
y ahora recibimos otras variantes que instalan .EXE y añaden .THOR a los ficheros cifrados

5a41089b.exe, 2696a5fe.exe, 61067bf1.exe

que tambien pasamos a controlar a partir del ELISTARA 35.49 de hoy
y de los que un analisis con virustotal ofrece el siguiente informe:

MD5 5a41089bd7174f843dbe5c87134ed300
SHA1 374e94082a2dfdf62ba5c99fac3b5df1fea74b8c
File size 197.5 KB ( 202228 bytes )
SHA256:  2d327fbeae34a376ae0b335891d944023a4a0e1c201dbddfa529a07b7822fd19
File name:  5a41089b.exe
Detection ratio:  11 / 56
Analysis date:  2016-10-25 09:33:27 UTC ( 8 minutes ago )
0
1

Antivirus  Result  Update
AegisLab  Heur.Advml.Gen!c  20161025
CAT-QuickHeal  Ransom.Locky.A  20161025
CrowdStrike Falcon (ML)  malicious_confidence_90% (D)  20160725
ESET-NOD32  NSIS/Injector.HS  20161025
Fortinet  W32/Injector.HJ!tr  20161025
K7AntiVirus  Trojan ( 004fb7741 )  20161025
K7GW  Trojan ( 004fb7741 )  20161025
Kaspersky  UDS:DangerousObject.Multi.Generic  20161025
McAfee  Artemis!5A41089BD717  20161025
McAfee-GW-Edition  BehavesLike.Win32.AdwareOpenCandy.cc  20161025
Symantec  Heur.AdvML.B  20161025

Sea como sea, es una avalancha de ransomwares que se evita dejando de ejecutar ficheros anexados a mails no solicitados, por lo que una vez mas, insistimos en ello !!!

Dicha versión del ELISTARA 35.49 que los detecta y elimina, estará disponible en nuestra web a partir del 26-10-2016

saludos

ms, 25-10-2016