NUEVO MAIL QUE DESCARGA E INSTALA UN NUEVO RANSOMWARE “ODIN” DE LA FAMILIA DE LOS LOCKY / ZEPTO

Publicado el 28 septiembre 2016 ¬ 11:26 amh.mscComentarios desactivados en NUEVO MAIL QUE DESCARGA E INSTALA UN NUEVO RANSOMWARE “ODIN” DE LA FAMILIA DE LOS LOCKY / ZEPTO

NUEVO MAIL QUE DESCARGA E INSTALA UN NUEVO RANSOMWARE “ODIN” DE LA FAMILIA DE LOS LOCKY / ZEPTO

Absoluta primicia: se está recibiendo nuevo mail masivo que adjunta fichero ZIP que contiene un .wsf que descarga e instala un nuevo ransomware que añade .ODIN a los ficheros que cifra

Aunque sea el primero de esta nueva gama, es mas de lo mismo que sus “hermanos” LOCKY y ZEPTO, cambia el nombre del fichero, codifica su contenido y, en este caso, añade .ODIN a su extensión.

El fichero malware es una .DLL que queda en TEMP, y en el próximo reinicio ya no se lanza, y con el ELISTARA lo primero que hacemos es eliminar los ficheros de TEMP, y muerto el perro…

El mail en el que nos ha llegado contiene este texto:

MAIL MALICIOSO
_______________

Asunto: Clients accounts
De: “Norman Bowers” <Bowers.730@mysipl.com>
Fecha: 28/09/2016 4:41
Para: “destinatario”

Dear virus,

I attached the clients’ accounts for your next operation.

Please look through them and collect their data. I expect to hear from you soon.

Norman Bowers
Director Audit Services
Tel.: (707) 955-41-91

ANEXO fichero ZIP (conteniendo un *.wsf)

__________________

FIN MAIL MALICIOSO

El preanalisis de virustotal ofrece el siguiente informe:

MD5 7558c2752b92a92676ec95bc5077d5c0
SHA1 33cac5d5b376b85082dee6a024cb9826062dab29
File size 65.5 KB ( 67048 bytes )
SHA256: 5f5b21ee50262383792354c845ec139955fe85011413a48f8c6e360ee66d59f9
File name: Clients accounts 1AC621 xls.wsf
Detection ratio: 18 / 55
Analysis date: 2016-09-28 08:01:56 UTC ( 20 minutes ago )
0
1

Antivirus Result Update
Ad-Aware Trojan.GenericKDZ.36667 20160928
Antiy-AVL Trojan/Generic.ASVCS3S.420 20160928
Arcabit Trojan.Generic.D8F3B 20160928
Avira (no cloud) JS/Dldr.Locky.72255 20160928
BitDefender Trojan.JS.Nemucod.AX 20160928
Bkav JS.eIframeDownloader.9A50 20160927
Cyren JS/Locky.BC!Eldorado 20160928
Emsisoft Trojan.JS.Nemucod.AX (B) 20160928
F-Secure Trojan.JS.Nemucod.AX 20160928
Fortinet JS/Inject.A!tr 20160928
GData Trojan.JS.Nemucod.AX 20160928
Kaspersky Trojan-Downloader.JS.Agent.mqe 20160928
eScan Trojan.GenericKDZ.36667 20160928
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160927
Rising Trojan.Hideval/JS!1.A60E (classic) 20160928
Symantec JS.Downloader 20160928
Tencent Js.Trojan.Raas.Auto 20160928
TrendMicro-HouseCall JS_NEMUCOD.SMAA9 20160928

Así mismo la DLL que descarga este downloader, la descifra (viene codificada) y la instala, empezando el cifrado de ficheros de datos, pasamos a controlarla (junto con el downloader en cuestión) a partir del ELISTARA 35.31 de hoy

El preanalisis de virustotal de dicha DLL que es propiamente el nuevo RANSOMWARE ODIN, ofrece el siguiente informe:

MD5 757311cc08c02741b140a48d505bebeb
SHA1 a21be2745fceee7420fa053f491f6abfa34bf58d
File size 159.5 KB ( 163328 bytes )
SHA256: 1ebc4880a9b424d17760474648ebb7fa06585b276245f21aabd09dc05c8c7912
File name: BF1sVx5wcdhhbfXT.dll
Detection ratio: 21 / 57
Analysis date: 2016-09-28 09:10:47 UTC ( 0 minutes ago )
0
2

Antivirus Result Update
Baidu Win32.Trojan.WisdomEyes.151026.9950.9986 20160928
Tencent Win32.Trojan.Raas.Auto 20160928
AhnLab-V3 Trojan/Win32.Locky.N2116487798 20160928
Invincea trojan.win32.skeeyah.a!rfn 20160917
Ikarus Trojan.Win32.Crypt 20160928
Emsisoft Trojan.Ransom.Zepto.O (B) 20160928
Ad-Aware Trojan.Ransom.Zepto.O 20160928
Arcabit Trojan.Ransom.Zepto.O 20160928
BitDefender Trojan.Ransom.Zepto.O 20160928
F-Secure Trojan.Ransom.Zepto.O 20160928
GData Trojan.Ransom.Zepto.O 20160928
eScan Trojan.Ransom.Zepto.O 20160928
DrWeb Trojan.Encoder.6219 20160928
Kaspersky Trojan-Ransom.Win32.Locky.cfc 20160928
Malwarebytes Ransom.Locky 20160928
Rising Malware.Generic!TG64zlE2FzH@2 (thunder) 20160928
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725
Sophos Mal/Generic-S 20160928
Bkav HW32.Packed.65C6 20160927
McAfee-GW-Edition BehavesLike.Win32.Locky.cc 20160927
ESET-NOD32 a variant of Win32/Kryptik.FGYJ 20160928

Dicha versión del ELISTARA 35.31 que los detecta y elimina, estará disponible en nuestra web a partir del 29-9-2016

saludos

ms, 28-9-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies