NUEVA VARIANTE DE CRYPTOLOCKER DEL FALSO MAIL DE ENDESA CAZADO POR LA UTILIDAD CLRANSOM.EXE

Una nueva variante del ransomware de moda, el Cryptolocker del falso mail de ENDESA, ha podido ser identificado gracias a nuestra utilidad CLRANSOM.EXE.

A partir del ELISTARA 34.76 de hoy pasamos a controlar especificamente a esta nueva variante, si bien a partir del momento de añadir .VIR a la extensión de dicho fichero y reiniciar, el virus ya ha dejado de lanzarse.

El preanalisis de virustotal ofrece el siguiente informe:
MD5 9d943c26bfb452f500d8353f1811bb84
SHA1 709381541fdd1ba5fce8834ff914608c71c97d11
Tamaño del fichero 366.5 KB ( 375309 bytes )
SHA256: 574bafcf6b652249bc193bb8693bb10bdd76748c00c0c6529547fadf6a93a2ad
Nombre: ijipezhc.exe.vir
Detecciones: 9 / 50
Fecha de análisis: 2016-06-14 08:17:47 UTC ( hace 14 minutos )
0 2

Antivirus Resultado Actualización
AVG Generic15_c.AUHB 20160614
AegisLab Suspicious.Cloud.7!c 20160613
Avira (no cloud) TR/Dropper.hzdp 20160614
Emsisoft Trojan.GenericKD.3312356 (B) 20160614
McAfee Artemis!9D943C26BFB4 20160613
McAfee-GW-Edition BehavesLike.Win32.Ransom.fc 20160613
Qihoo-360 HEUR/QVM42.1.0000.Malware.Gen 20160614
SUPERAntiSpyware Trojan.Agent/Gen-Kovter 20160613
Sophos Mal/Generic-S 20160613

Dicha versión del ELISTARA 34.76 que lo detecta y elimina,e stará disponinble en nuestra web a partir de las 18 h CEST de hoy

Atencion que McAFee solo lo detecta con su motor Artemis, por lo que conviene tener la sensibilidad heuristica a nivel MUY ALTO, y Kaspersky aun no lo conoce, por lo que les enviamos muestra para que añadan su control en la proxima version de su AV

saludos

ms, 14-6-2016