NUEVO MAIL QUE DESCARGA E INSTALA UN NUEVO RANSOMWARE “ODIN” DE LA FAMILIA DE LOS LOCKY / ZEPTO
NUEVO MAIL QUE DESCARGA E INSTALA UN NUEVO RANSOMWARE “ODIN” DE LA FAMILIA DE LOS LOCKY / ZEPTO
Absoluta primicia: se está recibiendo nuevo mail masivo que adjunta fichero ZIP que contiene un .wsf que descarga e instala un nuevo ransomware que añade .ODIN a los ficheros que cifra
Aunque sea el primero de esta nueva gama, es mas de lo mismo que sus “hermanos” LOCKY y ZEPTO, cambia el nombre del fichero, codifica su contenido y, en este caso, añade .ODIN a su extensión.
El fichero malware es una .DLL que queda en TEMP, y en el próximo reinicio ya no se lanza, y con el ELISTARA lo primero que hacemos es eliminar los ficheros de TEMP, y muerto el perro…
El mail en el que nos ha llegado contiene este texto:
MAIL MALICIOSO
_______________
Asunto: Clients accounts
De: “Norman Bowers” <Bowers.730@mysipl.com>
Fecha: 28/09/2016 4:41
Para: “destinatario”
Dear virus,
I attached the clients’ accounts for your next operation.
Please look through them and collect their data. I expect to hear from you soon.
Norman Bowers
Director Audit Services
Tel.: (707) 955-41-91
ANEXO fichero ZIP (conteniendo un *.wsf)
__________________
FIN MAIL MALICIOSO
El preanalisis de virustotal ofrece el siguiente informe:
MD5 7558c2752b92a92676ec95bc5077d5c0
SHA1 33cac5d5b376b85082dee6a024cb9826062dab29
File size 65.5 KB ( 67048 bytes )
SHA256: 5f5b21ee50262383792354c845ec139955fe85011413a48f8c6e360ee66d59f9
File name: Clients accounts 1AC621 xls.wsf
Detection ratio: 18 / 55
Analysis date: 2016-09-28 08:01:56 UTC ( 20 minutes ago )
0
1
Antivirus Result Update
Ad-Aware Trojan.GenericKDZ.36667 20160928
Antiy-AVL Trojan/Generic.ASVCS3S.420 20160928
Arcabit Trojan.Generic.D8F3B 20160928
Avira (no cloud) JS/Dldr.Locky.72255 20160928
BitDefender Trojan.JS.Nemucod.AX 20160928
Bkav JS.eIframeDownloader.9A50 20160927
Cyren JS/Locky.BC!Eldorado 20160928
Emsisoft Trojan.JS.Nemucod.AX (B) 20160928
F-Secure Trojan.JS.Nemucod.AX 20160928
Fortinet JS/Inject.A!tr 20160928
GData Trojan.JS.Nemucod.AX 20160928
Kaspersky Trojan-Downloader.JS.Agent.mqe 20160928
eScan Trojan.GenericKDZ.36667 20160928
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160927
Rising Trojan.Hideval/JS!1.A60E (classic) 20160928
Symantec JS.Downloader 20160928
Tencent Js.Trojan.Raas.Auto 20160928
TrendMicro-HouseCall JS_NEMUCOD.SMAA9 20160928
Así mismo la DLL que descarga este downloader, la descifra (viene codificada) y la instala, empezando el cifrado de ficheros de datos, pasamos a controlarla (junto con el downloader en cuestión) a partir del ELISTARA 35.31 de hoy
El preanalisis de virustotal de dicha DLL que es propiamente el nuevo RANSOMWARE ODIN, ofrece el siguiente informe:
MD5 757311cc08c02741b140a48d505bebeb
SHA1 a21be2745fceee7420fa053f491f6abfa34bf58d
File size 159.5 KB ( 163328 bytes )
SHA256: 1ebc4880a9b424d17760474648ebb7fa06585b276245f21aabd09dc05c8c7912
File name: BF1sVx5wcdhhbfXT.dll
Detection ratio: 21 / 57
Analysis date: 2016-09-28 09:10:47 UTC ( 0 minutes ago )
0
2
Antivirus Result Update
Baidu Win32.Trojan.WisdomEyes.151026.9950.9986 20160928
Tencent Win32.Trojan.Raas.Auto 20160928
AhnLab-V3 Trojan/Win32.Locky.N2116487798 20160928
Invincea trojan.win32.skeeyah.a!rfn 20160917
Ikarus Trojan.Win32.Crypt 20160928
Emsisoft Trojan.Ransom.Zepto.O (B) 20160928
Ad-Aware Trojan.Ransom.Zepto.O 20160928
Arcabit Trojan.Ransom.Zepto.O 20160928
BitDefender Trojan.Ransom.Zepto.O 20160928
F-Secure Trojan.Ransom.Zepto.O 20160928
GData Trojan.Ransom.Zepto.O 20160928
eScan Trojan.Ransom.Zepto.O 20160928
DrWeb Trojan.Encoder.6219 20160928
Kaspersky Trojan-Ransom.Win32.Locky.cfc 20160928
Malwarebytes Ransom.Locky 20160928
Rising Malware.Generic!TG64zlE2FzH@2 (thunder) 20160928
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725
Sophos Mal/Generic-S 20160928
Bkav HW32.Packed.65C6 20160927
McAfee-GW-Edition BehavesLike.Win32.Locky.cc 20160927
ESET-NOD32 a variant of Win32/Kryptik.FGYJ 20160928
Dicha versión del ELISTARA 35.31 que los detecta y elimina, estará disponible en nuestra web a partir del 29-9-2016
saludos
ms, 28-9-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.