NUEVA HISTORIA DE LA INFECCION DE LOS ACTUALES RANSOMWARE LOCKY/ZZZZ
Al monitorizar nuevas muestras recibidas del ransomware de moda, que llegan por email anexadas en un ZIP que contiene un .JS, nos ha descargado un fichero .TDB en carpeta temporal que ejecuta con un RUNDLL32 indicando para ello una función, que en la monitorización de este caso hemos visto que utilizaba RXIT, con lo que cifra los ficheros de datos de unidades compartidas, añadiendo .zzzzz a la extensión de dichos ficheros cifrados, terminando dicho proceso al no haber claves de registro que lo lancen de nuevo, por lo que dicho fichero de carpeta temporal queda inútil y ya no funciona en próximos reinicios, e incluso el ELISTARA lo eliminará por defecto al estar en dicha carpeta
El preanalisis de virustotal ofrece el siguiente informe:
MD5 46b8487eb239014a6001164396ed2947
SHA1 e2387e58e07169c7e23fc63060b1babfda58294a
File size 268.9 KB ( 275403 bytes )
SHA256: 9b42dbce038475470e36d93469e6b285d96b2543180a0bfa6c943567bf237ccc
File name: ptytf6cmb0.tdb
Detection ratio: 18 / 57
Analysis date: 2016-11-29 09:53:08 UTC ( 0 minutes ago )
0
1
Antivirus Result Update
AegisLab Uds.Dangerousobject.Multi!c 20161129
AhnLab-V3 Trojan/Win32.Locky.C1686664 20161129
Avira (no cloud) TR/Crypt.ZPACK.tzohp 20161129
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9984 20161129
Bkav W32.eHeur.Malware09 20161128
CrowdStrike Falcon (ML) malicious_confidence_66% (D) 20161024
DrWeb Trojan.Encoder.3976 20161129
ESET-NOD32 a variant of Win32/Kryptik.FKRI 20161129
Fortinet W32/Kryptik.FKQG!tr 20161129
Ikarus Trojan-Ransom.Locky 20161129
Invincea trojan.win32.necurs.a 20161128
Kaspersky UDS:DangerousObject.Multi.Generic 20161129
McAfee Artemis!46B8487EB239 20161129
McAfee-GW-Edition Artemis 20161129
Qihoo-360 HEUR/QVM39.1.0000.Malware.Gen 20161129
Rising Malware.Generic!B5UAuYOaB9@1 (thunder) 20161129
Sophos Mal/RansomDl-E 20161129
Tencent Win32.Trojan.Raas.Auto 20161129
Y el .JS generado al desempaquetar el ZIP, que es realmente una variante de NEMUCOD, causante de la descarga y ejecución del ransomware propiamente dicho, lo pasamos a controlar a partir del ELISTARA 35.72 de hoy, y, subido al virustotal, ofrece el siguiente informe:
SHA256: 2febc80b3130229615bcc72ce6749b44c782c7049bee7b0f93cbccecee15a51c
File name: -snk-9094022.js
Detection ratio: 27 / 55
Analysis date: 2016-11-29 10:30:15 UTC ( 25 minutes ago )
0
1
Antivirus Result Update
AVG JS/Downloader.Agent.64_C 20161129
Ad-Aware Trojan.JS.Agent.ONI 20161129
AegisLab Troj.Downloader.Script!c 20161129
Antiy-AVL Trojan/Generic.ASVCS3S.434 20161129
Arcabit Trojan.JS.Agent.ONI 20161129
Avira (no cloud) JS/Dldr.Locky.valmF 20161129
Baidu JS.Trojan-Downloader.Nemucod.pe 20161129
BitDefender Trojan.JS.Agent.ONI 20161129
Cyren JS/Locky.BF!Eldorado 20161129
DrWeb JS.DownLoader.2863 20161129
ESET-NOD32 JS/TrojanDownloader.Nemucod.BRD 20161129
Emsisoft Trojan.JS.Agent.ONI (B) 20161129
F-Prot JS/Locky.BF!Eldorado 20161129
Fortinet JS/Nemucod.BQM!tr 20161129
GData Trojan.JS.Agent.ONI 20161129
Ikarus Trojan-Downloader.JS.Nemucod 20161129
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20161129
McAfee JS/Nemucod.pj 20161129
McAfee-GW-Edition BehavesLike.JS.Downloader.lm 20161129
eScan Trojan.JS.Agent.ONI 20161129
Microsoft TrojanDownloader:JS/Nemucod.AAS 20161129
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20161129
Qihoo-360 trojan.js.downloader.1 20161129
Rising Trojan.Obfus/JS!1.A601 (classic) 20161129
Sophos JS/DwnLdr-QFD 20161129
Tencent Js.Trojan.Raas.Auto 20161129
TrendMicro-HouseCall JS_NEMUCOD.SMAA16 20161129
Dicha versión del ELISTARA 35.72 que lo detecta y elimina, estará disponible en nuestra web a partir del 30-11-2016
saludos
ms, 29-11-2016
COMENTARIO:
Cabe indicar que el fichero ZIP en cuestión iba anexado a un mail masivo con estas características:
MAIL MASIVO MALICIOSO
_____________________
Asunto: Insufficient funds
De: “Charlene Cote” <Cote.Charlene@online.no>
Fecha: 29/11/2016 3:21
Para: <destinatario>
Dear virus,
Your bill payment was rejected due to insufficient funds on your account.
Payment details are given in the attachment.
anexado payment-virus.ZIP
____________________
saludos
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.