NUEVA MODA DEL HACKER DE LOS LOCKYS: CIFRADO DEL PROPIO JS QUE DESCARGAN EL FICHERO CON EL LOCKY PROPIAMENTE DICHO
Ahora, para dificultar mas la detección de esta familia de ransomwares, los nuevos JS que descargan los Locky vienen cifrados de forma que no los detecten los antivirus, y el fichero que descargan, que entendemos que es una variante de LOCKY, hay AV que le llaman CRYPTOLOCKER, otros que le llaman CRYPT y otros LOCKY, como puede verse en el informe del preanalisis de uno de ellos.
Nosotros lo pasamos a controlar como LOCKY dado que son varios los casos que nos hemos encontrado con JS cifrados que descargan dicho ransomware.
A los JS los consideramos NEMUCOD, que son los downloaders de los ransomwares, por ello algunos consideran que son cualquiera de los mas actuales, y McAfee le llama “ransomware”, asi no se equivoca !
A los JS de descarga los pasamos a controlar como NEMUCOD, y tanto a este como al “LOCKY” en cuestión lo pasamos a controlar a partir del ELISTARA 34.67 de hoy
El preanalisis del EXE en cuestión, donde puede verse cada cual como le llama, ofrece el siguiente informe:
MD5 3a0aa8730fa9b0e71c23ff2921597b84
SHA1 af5d34ce7dc1fc99d6c10b3dd31f01214226793c
Tamaño del fichero 159.0 KB ( 162816 bytes )
SHA256: 866cb1c5c4386401748919c3fbcf74c1d492dfe68331bf3553d3a8ae6710df88
Nombre: c99nBK75.exe
Detecciones: 37 / 57
Fecha de análisis: 2016-06-01 14:30:35 UTC ( hace 0 minutos )
0 2
Antivirus Resultado Actualización
ALYac Trojan.CryptoLocker.EJ 20160601
AVG Crypt_r.CAN 20160601
Ad-Aware Trojan.CryptoLocker.EJ 20160601
AegisLab Troj.W32.Delikle!c 20160601
AhnLab-V3 Trojan/Win32.Locky 20160601
Arcabit Trojan.CryptoLocker.EJ 20160601
Avast Win32:Malware-gen 20160601
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160601
BitDefender Trojan.CryptoLocker.EJ 20160601
Bkav HW32.Packed.BA29 20160601
Cyren W32/S-756f0277!Eldorado 20160601
DrWeb Trojan.Encoder.4671 20160601
ESET-NOD32 a variant of Win32/Kryptik.EYMO 20160601
Emsisoft Trojan.CryptoLocker.EJ (B) 20160601
F-Prot W32/S-756f0277!Eldorado 20160601
F-Secure Trojan.CryptoLocker.EJ 20160601
Fortinet W32/Delikle.EYMO!tr 20160601
GData Trojan.CryptoLocker.EJ 20160601
Ikarus Trojan.Win32.Crypt 20160601
Jiangmin Trojan.Delikle.af 20160601
K7AntiVirus Trojan ( 004f09431 ) 20160601
K7GW Trojan ( 004f09431 ) 20160601
Kaspersky Trojan-Ransom.Win32.Locky.aez 20160601
Malwarebytes Ransom.CryptoLocker 20160601
McAfee Ransomware-FLY!3A0AA8730FA9 20160601
McAfee-GW-Edition BehavesLike.Win32.Ramnit.ch 20160601
eScan Trojan.CryptoLocker.EJ 20160601
NANO-Antivirus Trojan.Win32.Encoder.ecuwxa 20160601
Panda Trj/GdSda.A 20160601
Qihoo-360 Win32/Trojan.619 20160601
Rising Malware.Generic!JVh4mwT8X8Q@1 (Thunder) 20160601
Sophos Troj/Ransom-CZH 20160601
Symantec Trojan.Cryptolocker.AF 20160601
Tencent Win32.Trojan.Raas.Auto 20160601
TrendMicro Ransom_LOCKY.FM 20160601
TrendMicro-HouseCall Ransom_LOCKY.FM 20160601
nProtect Trojan.CryptoLocker.EJ 20160601
Dicha versión del ELISTARA 34.67 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy
saludos
ms, 1.6.2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.