MUY IMPORTANTE: ALUVION DE MAILS CON PHISHING DE ENDESA QUE INSTALAN CRYPTOLOCKER

Se está recibiendo masivamente una falsa factura de ENDESA que ofrece un enlace que descarga un ZIP que contiene un JS que instala y ejecuta un EXE con el ransomware CRYPTOLOCKER

Es similar al que hemos sufrido hasta ahora con el falso mail de CORREOS, y que a tantos usuarios ha afectado, y ahora nos tememos que será mas de lo mismo, a pesar de este aviso y de que hasta ENDESA está avisando al respecto.

El mail que se recibe es del siguiente tipo:

tolocker” width=”300″ height=”278″ />
imagen de phishing de ENDESA que descarga cryptolocker

Es muy importante NO PULSAR EN SUS ENLACES para evitar instalar dicha variante del CRYPTOLOCKER

Desde el ELISTARA 34.65 de ayer ya controlamos variantes de este Cryptolocker, si bien vemos que están cambiando continuamente su código y que nuevas variantes habrán de ir siendo controladas a medida que las vayamos conociendo.

MUCHO CUIDADO YA QUE NOS TEMEMOS PROVOQUE LA INFECCION Y CIFRADO DE MUCHOS ORDENADORES A PESAR DE QUE VAYAMOS CONTROLANDO LOS QUE VAYAN APARECIENDO.

Ofrecemos informe del preanalisis del VIRUSTOTAL sobre una de las muestras actuales de dicho Cryptolocker de “ENDESA”:

MD5 ec11c3a1be57b62e7fbede4b01b79836
SHA1 86e4d0d1f3e789ebed5f224dfa553c39e6c1243d
Tamaño del fichero 353.7 KB ( 362189 bytes )

SHA256: 3838e4d078bc3d1c9dcb436d03109c1c6f385ff0d8edf03634e42cc08255636c
Nombre: ikazykab.exe
Detecciones: 4 / 57
Fecha de análisis: 2016-05-31 08:12:47 UTC ( hace 3 minutos )
0 1
Antivirus Resultado Actualización
Baidu Win32.Trojan.WisdomEyes.151026.9950.9994 20160530
Kaspersky UDS:DangerousObject.Multi.Generic 20160531
McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20160530
Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20160531

Como se ve actualmente lo controlan muy pocos antivirus, solo 4 de los 57 de virustotal, debido a la novedad del mismo y a los continuos cambios de las variantes que van implementando en el servidor desde donde descargan el ZIP con el JS que instala el EXE con el CRYPTOLOCKER

Es importante recordar que, de sufrir el ataque de esta familia del CRYPTOLOCKER, cifra los ficheros de datos de las unidades compartidas, y que el virus queda en el ordenador donde se ha ejecutado el enlace contenido en el dichoso mail, y que queda infectado lanzando otra vez el virus cuando se reinicia, por lo que ANTES DE RESTAURAR LAS COPIAS DE SEGURIDAD debe eliminarse el virus del ordenador infectado.

Para ello probar el último ELISTARA disponible en el ordenador infectado, y si no lo detecta, lanzar el SPROCES y pulsar SALIR, lo cual generara en menos de 10 segundos, un informe en C\SPROCLOG.TXT que podrán enviarnos indicando que han sufrido dicho ataque, para que busquemos el fichero causante y su clave de lanzamiento, para pedir que nos lo envien como muestra a analizar, además de aparcarlo añadiendo .VIR a su extensión.

Ya con el ELISTARA 34.65 de ayer empezamos a controlar las primeras variantes, por lo que aconsejamos probarlo, mientras no se disponga de una versión superior.

El nuevo ELISTARA 34.66 de hoy, estará disponible a partir de las 18 h CEST, en el que incluiremos el control de todas las variantes que recibamos durante el día.

Si tienen alguna duda al respecto, rogamos nos lo indiquen
saludos

ms, 31-5-2016