NUEVA VARIANTE DE RANSOMWARE LOCKY QUE SE INSTALA AL EJECUTAR EL ANEXADO FDF9163161805.js contenido en el zip anexado a e-mail masivo malicioso

Tras la monitorizacion del fichero que llega en el empaquetado de un e-mail malicioso con anexado: DESTINATARIO.es_48630_1760798.zip (CONTENIENDO FICHERO MALICIOSO FDF9163161805.js), se instala un ransomware LOCKY que codifica los ficheros de datos, y luego desaparece, dejando fondo de instrucciones del hacker en el ordenador en el que se ha ejecutado, asi como fichero TXT similar en todas las carpetas donde ha cifrado ficheros.

A partir del ELISTARA 34.12 lo pasamos a controlar, eliminar el fondo de escritorio y si lo hubiera, el fichero ransomware, si bien lo normal es que cuando acaba el cifrado, se borra del ordenador, como tambien la clave de lanzamiento, con lo que es normal que el ELISTARA ya no lo detecte, si bien aconsejamos pasarlo por si acaso alguna variante o proceso erroneo cambie lo indicado ya conocido.

El preanalisis de virustotal ofrece el siguiente informe:
MD5 7a40f11964136af4c6b798f9ca788dee
SHA1 da08e56eea5592d172a2e77a866c1b95087c3873
Tamaño del fichero 388.0 KB ( 397312 bytes )

SHA256: 31a8da82168cd1f63855af3fa29f27ac9566b1945c30343898b73739eb813249
Nombre: 7t6f65g.exe
Detecciones: 2 / 57
Fecha de análisis: 2016-03-10 15:26:34 UTC ( hace 3 minutos )
0 4

Antivirus Resultado Actualización
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160310
Symantec Suspicious.Cloud.2 20160309

Como se puede ver, muy pocos AV lo detectan, por lo indicado anteriormente.

Dicha version del ELISTARA 34.12 que lo detecta y lo elimina (si aun existe), estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 10-3-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies