NUEVA GAMA DE RANSONMWARE CRYPTOLOCKER QUE LLEGAN EN FALSO MAIL DE CORREOS PERO MAS FACILES DE EJECUTAR, Y AÑADE .ENC A LOS CIFRADOS

Publicado el 31 agosto 2016 ¬ 12:50 pmh.mscComentarios desactivados en NUEVA GAMA DE RANSONMWARE CRYPTOLOCKER QUE LLEGAN EN FALSO MAIL DE CORREOS PERO MAS FACILES DE EJECUTAR, Y AÑADE .ENC A LOS CIFRADOS

Hasta ahora los Cryptolockers conocidos que llegaban en un mail aparentando ser de Correos sobre una carta certificada, al pulsar sobre ellos ofrecian un CAPTCHA que aparentaba ser una verificación sin la que no se descargaba del fichero.

Pues ahora acaba de salir una nueva variante que llega un falso eMail de Correos con un link a un PHP que descarga directamente un ZIP  que contiene un JS :

“Carta_Certificada.zip” -> “Carta_Certificada.js”

que al ejecutarlo descarga y ejecuta un “file.exe” que instala el dichoso cryptolocker pasando a cifrar todos los ficheros de las unidades compartidas

El .js contenido en el zip es una variante de Downloader NEMUCOD, cuyo preanalisis de virustotal ofrece el siguiente informe:

MD5 c5b19697801222661be52d2cb05a7f95
SHA1 9b530d34964b0bcebb801a2bce04f528a63ac98e
File size 29.1 KB ( 29754 bytes )
SHA256:  2d42f26ffea8bd12e0a066037661ceb65a5f476f901fb8bc89ae7a0249374c0e
File name:  Carta_Certificada.js
Detection ratio:  5 / 56
Analysis date:  2016-08-31 10:08:56 UTC ( 6 minutes ago )
0
1

Antivirus  Result  Update
Cyren  JS/Nemucod.DA!Eldorado  20160831
ESET-NOD32  JS/TrojanDownloader.Nemucod.ATA  20160831
F-Prot  JS/Nemucod.DA!Eldorado  20160831
Qihoo-360  virus.js.gen.70  20160831
Tencent  Js.Trojan-downloader.Nemucod.Szkz  20160831
Y el resultante de su ejecución, el propiamente Cryptolocker, ofrece este informe:

MD5 2e548cc4518a676e0f7b0c4fc79030b8
SHA1 33a2c666a1746405003c642c5a816b468f3bc166
File size 405.5 KB ( 415232 bytes )
SHA256:  d59dafa6c071bf73bfa978e7642a706c03b5da35086de7c633078b99f1e99ef9
File name:  uhijurtz.exe
Detection ratio:  13 / 58
Analysis date:  2016-08-31 10:24:28 UTC ( 1 hour, 7 minutes ago )
0
1

Antivirus  Result  Update
AVware  Trojan.Win32.Generic.pak!cobra  20160831
AegisLab  Heur.Advml.Gen!c  20160831
Baidu  Win32.Trojan.Kryptik.alb  20160831
Bkav  HW32.Packed.179F  20160830
CrowdStrike Falcon (ML)  malicious_confidence_91% (W)  20160725
Invincea  ransom.win32.cerber.a  20160830
Kaspersky  UDS:DangerousObject.Multi.Generic  20160831
McAfee  Artemis!2E548CC4518A  20160831
McAfee-GW-Edition  BehavesLike.Win32.Sality.gc  20160831
Rising  Malware.Generic!ZX4JYVOY16U@2 (thunder)  20160831
Sophos  Mal/Cerber-B  20160831
Symantec  Heur.AdvML.B  20160831
VIPRE  Trojan.Win32.Generic.pak!cobra  20160831
Ambos ficheros pasamos a controlarlos a partir del ELISTARA 35.11 de hoy, que estará disponible en nuestra web a partir de las 15 h CEST

Tener presente que esta variante añade .enc a los ficheros cifrados, en lugar de .encrypted como hacían las versiones anteriores

saludos

ms, 31.8.2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies