NUEVA HISTORIA DE LA INFECCION DE LOS ACTUALES RANSOMWARE LOCKY/ZZZZ

Publicado el 29 noviembre 2016 ¬ 12:04 pmh.mscComentarios desactivados en NUEVA HISTORIA DE LA INFECCION DE LOS ACTUALES RANSOMWARE LOCKY/ZZZZ

Al monitorizar nuevas muestras recibidas del ransomware de moda, que llegan por email anexadas en un ZIP que contiene un .JS, nos ha descargado un fichero .TDB en carpeta temporal que ejecuta con un RUNDLL32 indicando para ello una función, que en la monitorización de este caso hemos visto que utilizaba RXIT, con lo que cifra los ficheros de datos de unidades compartidas, añadiendo .zzzzz a la extensión de dichos ficheros cifrados, terminando dicho proceso al no haber claves de registro que lo lancen de nuevo, por lo que dicho fichero de carpeta temporal queda inútil y ya no funciona en próximos reinicios, e incluso el ELISTARA lo eliminará por defecto al estar en dicha carpeta

El preanalisis de virustotal ofrece el siguiente informe:

MD5 46b8487eb239014a6001164396ed2947
SHA1 e2387e58e07169c7e23fc63060b1babfda58294a
File size 268.9 KB ( 275403 bytes )
SHA256:  9b42dbce038475470e36d93469e6b285d96b2543180a0bfa6c943567bf237ccc
File name:  ptytf6cmb0.tdb
Detection ratio:  18 / 57
Analysis date:  2016-11-29 09:53:08 UTC ( 0 minutes ago )
0
1

Antivirus  Result  Update
AegisLab  Uds.Dangerousobject.Multi!c  20161129
AhnLab-V3  Trojan/Win32.Locky.C1686664  20161129
Avira (no cloud)  TR/Crypt.ZPACK.tzohp  20161129
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9984  20161129
Bkav  W32.eHeur.Malware09  20161128
CrowdStrike Falcon (ML)  malicious_confidence_66% (D)  20161024
DrWeb  Trojan.Encoder.3976  20161129
ESET-NOD32  a variant of Win32/Kryptik.FKRI  20161129
Fortinet  W32/Kryptik.FKQG!tr  20161129
Ikarus  Trojan-Ransom.Locky  20161129
Invincea  trojan.win32.necurs.a  20161128
Kaspersky  UDS:DangerousObject.Multi.Generic  20161129
McAfee  Artemis!46B8487EB239  20161129
McAfee-GW-Edition  Artemis  20161129
Qihoo-360  HEUR/QVM39.1.0000.Malware.Gen  20161129
Rising  Malware.Generic!B5UAuYOaB9@1 (thunder)  20161129
Sophos  Mal/RansomDl-E  20161129
Tencent  Win32.Trojan.Raas.Auto  20161129

Y el .JS generado al desempaquetar el ZIP, que es realmente una variante de NEMUCOD, causante de la descarga y ejecución del ransomware propiamente dicho, lo pasamos a controlar a partir del ELISTARA 35.72 de hoy, y, subido al virustotal, ofrece el siguiente informe:

SHA256:  2febc80b3130229615bcc72ce6749b44c782c7049bee7b0f93cbccecee15a51c
File name:  -snk-9094022.js
Detection ratio:  27 / 55
Analysis date:  2016-11-29 10:30:15 UTC ( 25 minutes ago )
0
1

Antivirus  Result  Update
AVG  JS/Downloader.Agent.64_C  20161129
Ad-Aware  Trojan.JS.Agent.ONI  20161129
AegisLab  Troj.Downloader.Script!c  20161129
Antiy-AVL  Trojan/Generic.ASVCS3S.434  20161129
Arcabit  Trojan.JS.Agent.ONI  20161129
Avira (no cloud)  JS/Dldr.Locky.valmF  20161129
Baidu  JS.Trojan-Downloader.Nemucod.pe  20161129
BitDefender  Trojan.JS.Agent.ONI  20161129
Cyren  JS/Locky.BF!Eldorado  20161129
DrWeb  JS.DownLoader.2863  20161129
ESET-NOD32  JS/TrojanDownloader.Nemucod.BRD  20161129
Emsisoft  Trojan.JS.Agent.ONI (B)  20161129
F-Prot  JS/Locky.BF!Eldorado  20161129
Fortinet  JS/Nemucod.BQM!tr  20161129
GData  Trojan.JS.Agent.ONI  20161129
Ikarus  Trojan-Downloader.JS.Nemucod  20161129
Kaspersky  HEUR:Trojan-Downloader.Script.Generic  20161129
McAfee  JS/Nemucod.pj  20161129
McAfee-GW-Edition  BehavesLike.JS.Downloader.lm  20161129
eScan  Trojan.JS.Agent.ONI  20161129
Microsoft  TrojanDownloader:JS/Nemucod.AAS  20161129
NANO-Antivirus  Trojan.Script.Heuristic-js.iacgm  20161129
Qihoo-360  trojan.js.downloader.1  20161129
Rising  Trojan.Obfus/JS!1.A601 (classic)  20161129
Sophos  JS/DwnLdr-QFD  20161129
Tencent  Js.Trojan.Raas.Auto  20161129
TrendMicro-HouseCall  JS_NEMUCOD.SMAA16  20161129

Dicha versión del ELISTARA 35.72 que lo detecta y elimina, estará disponible en nuestra web a partir del 30-11-2016

saludos

ms, 29-11-2016

 

COMENTARIO:

Cabe indicar que el fichero ZIP en cuestión iba anexado a un mail masivo con estas características:

 

MAIL MASIVO MALICIOSO
_____________________

Asunto: Insufficient funds
De: “Charlene Cote” <Cote.Charlene@online.no>
Fecha: 29/11/2016 3:21
Para: <destinatario>
Dear virus,

Your bill payment was rejected due to insufficient funds on your account.

Payment details are given in the attachment.

anexado payment-virus.ZIP

____________________

saludos

ms.

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies