NUEVO MAIL MASIVO QUE ANEXA DOWNLOADER NEMUCOD QUE DESCARGA E INSTALA UN RANSOMWARE LOCKY

Se está recibiendo masivamente un mail malicioso con fichero anexado, del siguiente tipo:

MAIL MASIVO MALICIOSO
_____________________

Asunto: FW: Invoice #886374-2016-03
De: Rhea Walters <WaltersRhea35@client.rdsnet.ro>
Fecha: 08/03/2016 19:09
Para: sat <destinatario>

Dear sat,

Please see attached (scanned document) file for your invoice.

Thank you for your business

Rhea Walters
Courier Service

ANEXADO: SCAN_2016_03_886374.zip (CONTENIENDO accent.605341169.js CON UN DONWLOADER NEMUCOD QUE DESCARGA E INSTALA UN RANSOMWARE LOCKY)
______________________

FIN DEL MAIL MALICIOSO

El ZIP anexado contiene un DONWLOADER NEMUCOD, que descarga un SCR que instala un LOCKY
Dicho JS.Nemucod pasa a ser controlado especificamente a partir del ELISTARA 34.11 de hoy
El preanalisis del JS.Nemucod contenido en el ZIP, ofrece el siguiente informe:
MD5 f5b1198c490863befa1e41b753edf15a
SHA1 2c2b669faf4bbe3fd0d3b09aa69f8062f81cd6c8
Tamaño del fichero 4.1 KB ( 4172 bytes )
SHA256: 0d90089704269b55012caefb8db95fca8f57ff0a2cd485667022d5d5455986ac
Nombre: accent.605341169.js
Detecciones: 9 / 57
Fecha de análisis: 2016-03-09 11:37:10 UTC ( hace 13 minutos )
0 1

Antivirus Resultado Actualización
Arcabit HEUR.JS.Trojan.b 20160309
Avira (no cloud) JS/Nemucod.hns.56 20160309
Cyren JS/Locky.F!Camelot 20160309
ESET-NOD32 JS/TrojanDownloader.Nemucod.ID 20160309
Fortinet JS/Nemucod.ID!tr.dldr 20160309
Ikarus Win32.Outbreak 20160309
McAfee JS/Nemucod.dp 20160309
Microsoft TrojanDownloader:JS/Swabfex.P 20160309
Sophos JS/DwnLdr-NGQ 20160309

Dicha version del ELISTARA 34.11 que lo detecta y elimina,e stará disponible enn nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 9-3-2016