OTRA MUESTRA DEL CRYPTOLOCKER.ENC APENAS DETECTADA POR LOS AV ACTUALES, QUE PASAMOS A CONTROLAR CON EL ELISTARA

Siguen llegando muestras de usuarios afectados por la nueva variante de Cryptolocker, a pesar de llegar en falso mail de Correos, y de que tanto estamos avisando de ello, pero …

Como la pasada semana e incluso esta mañana, llega un falso mail de Correos anexando un fichero .ZIP de nombre CARTA_CERTIFICADA.ZIP que contiene un fichero .js del mismo nombre, cuya ejecución instala un EXE de nombre variable que infecta y codifica los ficheros de datos de unidades compartidas con el ordenador en el que se ejecuta.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 070902d169b7cd5da732af5296226028
SHA1 548e14cabd8a012706cc7d6f57f632d2114f7b12
File size 425.5 KB ( 435663 bytes )
SHA256: cc1868dae1c75b7c15f6efe3e77c97202094d23b186187dfd824531fd51b70a8
File name: ysezykod.exe
Detection ratio: 9 / 58
Analysis date: 2016-09-05 14:35:11 UTC ( 3 minutes ago )
0
1

Antivirus Result Update
Baidu Win32.Trojan.WisdomEyes.151026.9950.9993 20160905
CrowdStrike Falcon (ML) malicious_confidence_97% (D) 20160725
DrWeb Trojan.PWS.Siggen1.56601 20160905
ESET-NOD32 NSIS/Injector.EC 20160905
Invincea virus.win32.sality.at 20160830
Kaspersky UDS:DangerousObject.Multi.Generic 20160905
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.gc 20160904
Qihoo-360 Trojan.Generic 20160905
SUPERAntiSpyware Adware.OpenCandy/Variant 20160905

Como se ve solo son 9 de 58 AV los que actualmente lo detectan, por lo que es fácil que los usuarios lo reciban y ejecuten sin que nada les pare los pies… y se encuentren con todos los ficheros de datos del servidor con el añadido .enc, y su interior cifrado … MUCHO CUIDADO CON LOS FICHEROS ANEXADOS A MAILS NO SOLICITADOS, AUNQUE VENGAN DE REMITENTES CON RENOMBRE !

Dicha versión del ELISTARA 35.14 que lo detecta y elimina, estará disponible en nuestra web a partir del 6-9-2016