NUEVO MAIL MASIVO QUE ANEXA FICHERO ZIP QUE INSTALA RANSOMWARE LOCKY

Se está recibiendo nuevo mail malicioso con este contenido:

MAIL MASIVO MALICIOSO
_____________________

Asunto: FW: Payment ACCEPTED M-128912
De: Kelly Maynard <MaynardKelly83136@nikisbridal.com>
Fecha: 15/03/2016 20:18
Para: virus <DESTINATARIO>

Dear virus,

Please check the payment confirmation attached to this email.
The Transaction should appear on your bank in 2 days.

Thank you.

Kelly Maynard
Financial CEO
ANEXADO: payment_accepted_128912.zip (conteniendo scanned_doc_72285b2.js instalador del ransomware LOCKY)

__________________

FIN MAIL MALICIOSO

El ZIP anexado contiene ficheros JS que descargan e instalan una nueva variante del Ransomware LOCKY, los cuales pasamos a controlara partir del ELISTARA 34.16 de hoy
El preanalisis de virustotal de uno de estos JS es el siguiente:

MD5 f4355b718ff7d6d8a73c790d5ed14294
SHA1 8d763887bc6f09236b7fec9fa8b43cba5f23e827
Tamaño del fichero 6.4 KB ( 6527 bytes )
SHA256: 4687974647b1446800377f1bc79870ee3f219ee9fea76d451aa8de412b50b829
Nombre: scanned_doc_72285b2.js
Detecciones: 15 / 57
Fecha de análisis: 2016-03-16 10:23:59 UTC ( hace 1 minuto )
0 1

Antivirus Resultado Actualización
Ad-Aware Trojan.JS.Downloader.CQN 20160316
AegisLab Js.Locky.Gen!c 20160316
Arcabit HEUR.JS.Trojan.b 20160316
Avast Other:Malware-gen [Trj] 20160316
BitDefender Trojan.JS.Downloader.CQN 20160316
Emsisoft Trojan.JS.Downloader.CQN (B) 20160316
F-Secure Trojan.JS.Downloader.CQN 20160316
GData Trojan.JS.Downloader.CQN 20160316
Ikarus Trojan-Downloader.Script 20160316
McAfee JS/Downloader.gen.bi 20160316
McAfee-GW-Edition JS/Downloader.gen.bi 20160316
eScan Trojan.JS.Downloader.CQN 20160316
Sophos Troj/JSDldr-FO 20160316
TrendMicro JS_LOCKY.AP 20160316
TrendMicro-HouseCall JS_LOCKY.AP 20160316

Dicha version del ELISTARA 34.16 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 16-3-2016