OTRA VARIANTE DE RANSOMWARE CRYPTOLOCKER TORRENT EN FALSO MAIL DE CORREOS, QUE PASAMOS A CONTROLAR

Y pasado el descanso de mediodia, recibimos nuevo mail con el enlace a la descarga de una nueva variante de este ransomware.

En este caso el fichero descargado presenta un nuevo icono, esta vez de carpeta en lugar de la de un fichero de Adobe como hasta ahora.

Aunque en este caso el icono es lo de menos, ya que lo malo es la autoejecucion automatica en cada reinicio, el hecho de utilizar icono de carpeta es malicioso por el hecho de que el usuario puede ejecutarlo al intentar entrar en “ella”, cuando lo que hace realmente es ejecutar el malware.

Por otra parte tiene un tamaño sensiblemente menos, de 368 KB en lugar de mas de 500 KB que tenian las anteriores versiones…

Igualmente codifica ficheros añadiendo a ellos la palabra “.encrypted”

Lo pasamos a controlar a partir del ELISTARA 34.27 de hoy

El preanalisis de virustotal ofrece el siguiente informe:

MD5 8db945e483d883dff7c69760f7b78925
SHA1 0f0f5f3b77b8d3a1d3236eeb2e444f3a18ce3ef2
SHA256 bb1fa98c9f1ed6ecc399cd6bbc5c0f0e5b2f9a9acb7f6ad4da397db13ebfdaf3
ssdeep6144:UAsBZJn3rXMxyLCVOhmw8/6YYiJ0MPG6HUlA9UA2KCm2u4GaGoENgTma:in3AIdELSYJrPy9m2u4GaPcgT1
authentihash 1a38597c256fad3f1c9101f1f97a97ab81600d2b173787495a236134c1beec45
imphash 59a4a44a250c4cf4f2d9de2b3fe5d95f
Tamaño del fichero 368.0 KB ( 376848 bytes )

SHA256: bb1fa98c9f1ed6ecc399cd6bbc5c0f0e5b2f9a9acb7f6ad4da397db13ebfdaf3
Nombre: spedizione_12974.exe
Detecciones: 2 / 56
Fecha de análisis: 2016-04-06 14:01:20 UTC ( hace 9 minutos )
0 1

Antivirus Resultado Actualización
McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20160406
Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160406

Como sea que es muy novedoso, aun lo detectan muy pocos antevirus, por lo que pasamos a enviarlo a los fabricantes de nuestros AV para que lo añadan a las nuevas versiones de los mismos.

Dicha versión 34.27 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 6-4-2016