NUEVA VARIANTE DEL RANSOMWARE CRYPTOLOCKER QUE LLEGA EN FALSO MAIL DE ENDESA Y COMENTARIOS AL RESPECTO

Publicado el 10 junio 2016 ¬ 11:20 amh.mscComentarios desactivados en NUEVA VARIANTE DEL RANSOMWARE CRYPTOLOCKER QUE LLEGA EN FALSO MAIL DE ENDESA Y COMENTARIOS AL RESPECTO

Como ya se ha indicado tantas veces, no paran de generar variantes de dicho ransomware que llega en una aparente factura del falso mail de ENDESA, cuyo enlace descarga un ZIP que contiene un JS cuya ejecución descarga y ejecuta el ransomware propiamente dicho, que reside en un fichero EXE con icono de carpeta, que si no se elimina, tras codificar los ficheros de datos de unidades compartidas, vuelve a lanzase en los siguientes reinicios, por lo que es muy importante buscarlo y eliminarlo si se ha sufrido dicho cifrado.

Como que son continuas las nuevas variantes que van apareciendo, es fácil que los antivirus aun no lo conozcan, pero si se ha sufrido dicho cifrado, debe buscarse dicho fichero y dejarlo fuera de circulación (añadiendo.VIR a su extensión ya vale) para que, tras reiniciar, ya no pueda ser lanzado de nuevo.

Para la simple detección de dicho cryptolocker en un ordenador infectado, podemos utilizar la nueva utilidad CLRANSOM.EXE (muy rápida y de simple uso), y si se quiere explorar al mismo tiempo en busca de otros malware, puede usarse el ELISTARA, (generando un informe en C:\infosat.txt) y para investigación de los ficheros en uso y de las claves que los lanzan, disponemos del SPROCES.EXE que genera el informe c:\sproclog.txt, el cual poder utilizar para investigación sobre ficheros en uso y claves de registro existentes, para obrar en consecuencia.

A partir del ELISTARA 34.74 de hoy pasamos a controlar nuevas variantes de dicho ransomware, de las que ofrecemos el informe del preanalisis de virustotal, tanto del .JS descargador como del .EXE ransomware:

El preanalisis del .JS ofrece este informe:

MD5 3c62c3e44880f255bc4c24f00cddf08f
SHA1 4d71c9f831547e5ef08703beea579daa33c3c49e
Tamaño del fichero 4.8 KB ( 4867 bytes )
SHA256: 2e9281f94e3fe78ffcf2b970e8a4484eee11894c111df081dfac66b825e4be32
Nombre: ENDESA_FACTURA(12).js
Detecciones: 5 / 57
Fecha de análisis: 2016-06-10 08:57:20 UTC ( hace 1 minuto )
0 1

Antivirus Resultado Actualización
Arcabit HEUR.JS.Trojan.ba 20160610
ESET-NOD32 JS/TrojanDownloader.Nemucod.ADS 20160610
Fortinet JS/Nemucod.ADK!tr 20160610
Rising Downloader.Nemucod!8.34-9jrXvyTR1VC (Cloud) 20160610
Sophos Troj/JSDldr-NI 20160610

Inicialmente este .JS descargó y ejecutó este EXE,

MD5 5ab3d9c3fd1916c0a111ae3920e9daf1
SHA1 6a9e1303dccc8d98cd2ac9fc9615997eaf36389d
Tamaño del fichero 554.5 KB ( 567808 bytes )
SHA256: cc4a8cd047e39d0101ae68f1674a1d08f4f728f3d70297a910020e929085b9c4
Nombre: osuwiqag.exe
Detecciones: 22 / 57
Fecha de análisis: 2016-06-10 09:08:07 UTC ( hace 5 minutos )
0 1

Antivirus Resultado Actualización
AVG Luhe.Fiha.A 20160609
AVware Trojan.Win32.Reveton.a (v) 20160610
Ad-Aware Trojan.GenericKD.3298507 20160610
Arcabit Trojan.Generic.D3254CB 20160610
Avira (no cloud) TR/Crypt.Xpack.zpal 20160610
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160608
BitDefender Trojan.GenericKD.3298507 20160610
DrWeb Trojan.Encoder.4775 20160610
ESET-NOD32 a variant of Win32/Kryptik.EZPR 20160610
Emsisoft Trojan.GenericKD.3298507 (B) 20160610
F-Secure Trojan.GenericKD.3298507 20160610
GData Trojan.GenericKD.3298507 20160610
Ikarus Trojan.Win32.Crypt 20160610
Kaspersky Backdoor.Win32.Androm.jwub 20160610
Malwarebytes Ransom.FileLocker 20160610
McAfee Artemis!5AB3D9C3FD19 20160610
McAfee-GW-Edition BehavesLike.Win32.BadFile.hh 20160610
eScan Trojan.GenericKD.3298507 20160610
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160610
Sophos Troj/Ransom-DFR 20160610
Symantec Trojan.Cryptolocker.H 20160610
VIPRE Trojan.Win32.Reveton.a (v) 20160610

Y media hora mas tarde, el mismo JS ha descargado este otro EXE, tambien Cryptolocker

MD5 766c38e3fdcfc531425676bd44840899
SHA1 16147e7d0b74424c9a16c84e8cdd7c58d309f46c
Tamaño del fichero 676.0 KB ( 692224 bytes )
SHA256: e1cc61b2b63252116b8c3a481818624842ff042587f4f392294030d7409a26e7
Nombre: avuxoqoq.exe
Detecciones: 8 / 57
Fecha de análisis: 2016-06-10 09:01:33 UTC ( hace 3 minutos )
0 1

Antivirus Resultado Actualización
AVware Trojan.Win32.Reveton.a (v) 20160610
ESET-NOD32 a variant of Win32/Kryptik.EZMV 20160610
Kaspersky UDS:DangerousObject.Multi.Generic 20160610
McAfee Packed-GZ!766C38E3FDCF 20160610
McAfee-GW-Edition BehavesLike.Win32.Expiro.jm 20160610
Qihoo-360 QVM20.1.Malware.Gen 20160610
Rising Malware.RDM.03!5.9 20160610
VIPRE Trojan.Win32.Reveton.a (v) 20160610

Como comentario cabe añadir que los iconos de dichos ficheros ejecutables presentan una carpeta, para confundir al usuario y que pulse en ellas, y asi ejecutar realmente el EXE !

Dicha versión del ELISTARA 34.74 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 10-6-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies