NUEVAS VARIANTES DE HOY DEL RANSOMWARE LOCKY-AESIR QUE PASAMOS A CONTROLAR CON ELISTARA

Sin que estos sean todos los AESIR que estám proliferando en Internet, navegando anexados a mails masivos maliciosos, pasamos a controlar estas nuevas 35 variantes a partir del ELISTARA 35.68 de hoy

De ellos el MD5 que identifica a cada uno, es el siguiente:
“4E207B30C5EAE01FA136F3D89D59BBBE” -> 08yhrf3.dll  303104
“E5F1325526ADFB77F68E8156F17650EB” -> 12mi44q.dll  144494
“825A1ED325E33212555B49F04CFEC8F1” -> 3aepw.dll  144494
“A99FFC374F9BCE98FEDE9FFBE0CFF0FC” -> 4edogu.dll  144494
“DC182EBE03B57547FEF297D53DE92BB3” -> 4pwxwqj3ug.dll  144494
“78947BC0897F3AC6DCFB532D7068B0B6” -> 5uiyuhohn.dll  144494
“65FE866DC2CF6C7DE09C3BE7DAE8305F” -> 5vy2q.dll  144494
“1D9A364645CA8D7C843B00CD9A9EBEB1” -> 6vk5qq.dll  144494
“CA0776CD79ABE39A66CFB44BED7BDBF1” -> 988gd4.dll  262144
“679EEA9FA43CE6AFF1956FA855C4CCE5” -> agqrcwgqyn.dll  144494
“012CE971E735625560B5E6091A49CBAC” -> bzv4jz9er.dll  144494
“11BF3EB1EAA67FBF068435FACC52C7D7” -> d4g73.dll  144494
“A10EBED066A9C946D88A5ABEC58970E5” -> diu9ktmd.dll  144494
“019E7775FFD02807BFEB87F74A51901B” -> dvdzv.dll  144494
“F78FC0D6101B906817C08850605E3E1E” -> dzduu.dll  145006
“D54E0817B2847FA69AC32DC46251AA34” -> eivvpg7.dll  144494
“BB18D36280F518A9E58E130790A1D05C” -> gcotjy.dll  144494
“DC3A3407EB8D121D04C2409737FF1599” -> ghsgpxzovg.dll  144494
“DEF0D0070D4AED411B84EBD713FD8B92” -> gmcoirnrm.dll  145006
“E1A4AE3F6E7E3EAD1F3D15986693DCEB” -> i7uma.dll  144494
“E97A5CA272119B7F841091C3016376BD” -> jd3gfy.dll  144494
“25FC96F7B9919BAE86E58C33C7E45613” -> jxgaeipxw.dll  144494
“305736A2D6D8472DB077321377CB9C6C” -> kby84bm.dll  144494
“772E4A6B8A5FB10388C6082C2BC0E9D1” -> liinyes.dll  144494
“C2F5597859E366160958F04B88F02E2E” -> ljhdj5.dll  145006
“0A29ED7A3B4BF2A41323199D39869CBA” -> nvslt.dll  144494
“09EDEF121E35417C7044170EAFD06299” -> sfmfl5ktuc.dll  144494
“BF6DD69A9B870AE1CC514ADCDE321D3F” -> tcaulm.dll  144494
“4145150237D9286C26D0BCF141426D2D” -> ufbuscn.dll  144494
“5FD9239D2AC38E6C19CC608904B64B0E” -> utnnyduqa.dll  144494
“3C2921739E886E0FEA02AAC3F2EF6D4D” -> uxzw0mspm.dll  144494
“F3960CF3B6642C42B92D14D7CA7409BC” -> vrzaq.dll  144494
“E24E76507F2F42E6C1F1869E85A31AF4” -> z2uqnic.dll  144494
“FE94DB5F1D5B2C31266A013477FE083C” -> zqdjx.dll  144494

Y visto que la mayoría tienen el mismo tamaño, aunque diferente contenido, pasamos a ofrecer el informe de virustotal del primero, que tiene un tamaño del doble que los demás, diferenciandose en que el XOR que codifica su contenido es de 32 bytes, contra los demás que es de 12.

Dicho preanalisis de virustotal ofrece el siguiente informe:
MD5 4e207b30c5eae01fa136f3d89d59bbbe
SHA1 86d347faba791a6007092bcebfa736de5a4d2e3d
File size 296.0 KB ( 303104 bytes )
SHA256:  675c681f4c9684685dda43e5e96983c1688bef6d68583562d60fe673dafb3d0c
File name:  08yhrf3.dll
Detection ratio:  15 / 56
Analysis date:  2016-11-23 15:42:53 UTC ( 4 minutes ago )
0
5

Antivirus  Result  Update
AegisLab  Ransom.Hplocky.Smjba!c  20161123
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9988  20161123
CrowdStrike Falcon (ML)  malicious_confidence_100% (D)  20161024
DrWeb  Trojan.Encoder.7128  20161123
ESET-NOD32  Win32/Filecoder.Locky.D  20161123
Kaspersky  UDS:DangerousObject.Multi.Generic  20161123
Malwarebytes  Ransom.Locky  20161123
McAfee  Artemis!4E207B30C5EA  20161123
McAfee-GW-Edition  BehavesLike.Win32.BadFile.dh  20161123
Qihoo-360  HEUR/QVM39.1.5B9D.Malware.Gen  20161123
Symantec  Ransom.Locky  20161123
Tencent  Win32.Trojan.Raas.Auto  20161123
TrendMicro  Ransom_HPLOCKY.SMJBA  20161123
TrendMicro-HouseCall  Ransom_HPLOCKY.SMJBA  20161123
VBA32  SScope.Malware-Cryptor.Filecoder  20161123

Dicha versión del ELISTARA 35.68 que los detecta y elimina, estará disponible en nuestra web a partir del 24-11-2016

saludos

ms, 23-11-2016