NUEVAS VARIANTES DEL RANSOMWARE CRYPTOLOCKER RECIBIDOS EN FALSOS MAILS DE CORREOS

NUEVAS VARIANTES DEL RANSOMWARE CRYPTOLOCKER RECIBIDOS EN FALSOS MAILS DE CORREOS

Como tantas otras veces, se están recibiendo mails masivos con la típica falsa carta de Correos con enlaces (tanto en la primera parte, para información del usuario, (Descargar información sobre su envío), como al final, para darse de baja (Haga clic aquí­ para darse de baja.) maliciosos:

http://poprockfm.com/….

que en este caso utilizan un site de Iomart Hosting Limited de UK, donde se ejecuta un php que reenvia a una página donde hay que rellenar el típico Captcha “22558”

Ello descarga un ZIP que contiene un JS:

“informacion_13219.zip” -> informacion_13219.js”
y al ejecutar este último, descarga desde un servidor sito en Rusia:

País Russian Federation
Ciudad Cheboksary
Latitud 56.13219833374
Longitud 47.251899719238
ISP OOO NPO Relcom

y ejecuta, el instalador del CRYPTOLOCKER TORRENT:

…/hideme/output/1.exe

De ellos ya hemos recibido dos de diferentes, cuyo ejecutable EXE final vuelve a tener icono de carpeta, a diferencia de los últimos recibidos que tenían icono de instalación.

Ofrecemos el preanalisis de virustotal del JS inicial de uno de ellos, que pasaremos a controlar como CRYPTOLOCKER DLDR (downloader):

MD5 7d1673f40bff0e403ed94a941596a608
SHA1 1699658e42438f8966cb82885b00513fc73cfc87
Tamaño del fichero 7.7 KB ( 7922 bytes )
SHA256: 4ba28e0bc9c1f1fd71f6044e4bf6a157c492df072d559e8cd3efe4d65227b9af
Nombre: informacion_13219.js
Detecciones: 5 / 56
Fecha de análisis: 2016-05-06 09:58:18 UTC ( hace 0 minutos )
0 1

Antivirus Resultado Actualización
Arcabit HEUR.JS.Trojan.ba 20160506
Cyren JS/Locky.W!Eldorado 20160506
ESET-NOD32 JS/TrojanDownloader.Nemucod.WA 20160506
F-Prot JS/Locky.W!Eldorado 20160506
Rising Downloader.Nemucod!8.34-1CS95kld8lT (Cloud) 20160506
fijarse que hay quien le llama Locky, por confundirse con este otro ransomware que realiza el proceso de descarga de forma similar, pero si descarga el Cryptolocker, mas vale llamarle por su nombre.

y el EXE que instala, propiamente ransomware:

MD5 bc44629c3596e922a8fa51d4ca58996c
SHA1 dff7a0a36a2bad03010743ac113da0355d330ddc
Tamaño del fichero 448.0 KB ( 458752 bytes )
SHA256: d201e9b2a33f06a0f9b8f15b0dba810c1358f2e670b97776ca423f44a2044896
Nombre: ukewtcuc.exe
Detecciones: 28 / 55
Fecha de análisis: 2016-05-06 10:11:22 UTC ( hace 3 minutos )
0 1

Antivirus Resultado Actualización
AVG Ransomer.LFK 20160506
AVware Trojan.Win32.Generic!BT 20160506
Ad-Aware Trojan.GenericKD.3208682 20160506
AhnLab-V3 Backdoor/Win32.Androm 20160505
Antiy-AVL Trojan[Backdoor]/Win32.Androm 20160506
Arcabit Trojan.Generic.D30F5EA 20160506
Avast Win32:Trojan-gen 20160506
Avira (no cloud) TR/Crypt.ZPACK.sbey 20160506
BitDefender Trojan.GenericKD.3208682 20160506
DrWeb Trojan.Encoder.4471 20160506
ESET-NOD32 Win32/Filecoder.TorrentLocker.A 20160506
F-Secure Trojan.GenericKD.3208682 20160506
GData Trojan.GenericKD.3208682 20160506
Ikarus Trojan.Win32.Filecoder 20160506
K7AntiVirus Trojan ( 004e24c81 ) 20160506
K7GW Trojan ( 004e24c81 ) 20160506
Kaspersky Backdoor.Win32.Androm.jpjj 20160506
Malwarebytes Trojan.Crypt 20160506
McAfee Artemis!BC44629C3596 20160506
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.gh 20160505
eScan Trojan.GenericKD.3208682 20160506
Panda Trj/GdSda.A 20160505
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160506
Rising Malware.XPACK-HIE/Heur!1.9C48 20160506
Sophos Mal/Generic-S 20160506
TrendMicro Ransom_CRILOCK.CBQ1655 20160506
TrendMicro-HouseCall Ransom_CRILOCK.CBQ1655 20160506
VIPRE Trojan.Win32.Generic!BT 20160506

Los EXE descargados, que persisten tras reiniciar el ordenador y volverían a cifrar ficheros, pasan a ser detectados y eliminados, al igual que el JS que los descarga, a partir del ELISTARA 34.50, y si son posteriores y aun no los conocemos, se deben localizar en el informe que genera el SPROCES y proceder a controlarlos, debiendo eliminar el e-mail de autos asi como el JS aparecido al desempaquetar el ZIP, para que no se pueda volver a ejecutar algun dia, lo cual deberá hacer manualmente el usuario, que sabrá donde ha guardado dicho JS. Si nos envian el JS y el EXE en cuestión, los pasaremos a controlar especificamente en la siguiente version del ELISTARA.

Parece que hayan querido imitar el proceso del LOCKY, por el JS descargador, lástima que no desaparezca el fichero ransomware como pasa en el LOCKY, una diferencia que obliga a conocer la variante para controlarla y eliminarla, pues de lo contrario volvería a las andadas !

Dicha versión del ELISTARA 34.50 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy.

saludos

ms, 6-5-2016