MUESTRA DE UN CRYPTOLOCKER DEL PHISHING DE ENDESA, CAZADO CON EL SPROCES Y PASADO A CONTROLAR A PARTIR DEL ELISTARA 34.66

A partir del ELISTARA 34.66 de hoy pasamos a controlar las muestras que se han cazado por el examen del informe generado por el SPROCES sobre el ordenador infectado.

Se recuerda que solo se infecta el ordenador en el que se ejecuta el enlace del falso mail de ENDESA, pues los demas ordenadores comparticos, especialmente los servidores aunque sean unidades virtuales, resultan cifrados los ficheros, pero no infectados dichos ordenadores.

Para las nuevas variantes aun no controladas, se ve el fichero ransomware en el informe del SPROCES, fichero que, tras analizar dicho informe, se indica aparcar añadiendole .VIR a su extension y enviarnoslo para que podamos controlarlo a partir de las siguientes versiones del ELISTARA.

En este caso son solo 10 de los 57 los antivirus de virustotal, los que actualmente lo detectan, como puede verse en el informe generado por dicho analisis:

MD5 ec11c3a1be57b62e7fbede4b01b79836
SHA1 86e4d0d1f3e789ebed5f224dfa553c39e6c1243d
Tamaño del fichero 353.7 KB ( 362189 bytes )
SHA256: 3838e4d078bc3d1c9dcb436d03109c1c6f385ff0d8edf03634e42cc08255636c
Nombre: ykorygip.exe.vir
Detecciones: 10 / 57
Fecha de análisis: 2016-05-31 13:47:55 UTC ( hace 0 minutos )
0 4

Antivirus Resultado Actualización
Baidu Win32.Trojan.WisdomEyes.151026.9950.9994 20160530
Symantec Trojan.Cryptolocker.H 20160531
Emsisoft Trojan-Ransom.Win32.Agent (A) 20160531
Kaspersky Trojan-Ransom.NSIS.Onion.qef 20160531
TrendMicro TROJ_BOAXXE.BYX 20160531
TrendMicro-HouseCall TROJ_BOAXXE.BYX 20160531
Malwarebytes Ransom.TorrentLocker.NSIS 20160531
Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160531
McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20160530
ESET-NOD32 a variant of Win32/Injector.CZKV 20160531

Dicha versión del ELISTARA 34.66 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 31-5-2016