SEGUIMOS RECIBIENDO MUESTRAS DE DLL QUE DESCARGAN RANSOMWARE LOCKY VARIANTE AESIR

Publicado el 22 noviembre 2016 ¬ 12:55 pmh.mscComentarios desactivados en SEGUIMOS RECIBIENDO MUESTRAS DE DLL QUE DESCARGAN RANSOMWARE LOCKY VARIANTE AESIR

Igual que ayer, primer día del AESIR, hoy recibimos, además del primer mail anexando ZIP conteniendo .js que descargaba DLL instaladora de dicho ransomware, del que hemos informado en:

https://blog.satinfo.es/2016/empezamos-el-dia-con-nuevos-mails-anexando-zip-que-contiene-descarga-de-dll-infectora-de-la-nueva-gama-del-ramsomware-locky-que-anade-aesir-a-la-extension-de-los-ficheros-cifrados/

gran cantidad de muestras, todas ellas diferentes, del mismo LOCKY-AESIR, y que pasamos a controlar a partir del ELISTARA 35.67 de hoy, teniendo todos ellos diferentes cadenas y diferente MD5, como puede verse en la siguiente relación de 30 ficheros al respecto:

MD5                           nombre fichero – tamaño

“E50F1B2D72D3D57DB93D33DC88AE80FA” -> 0qdh4gi.dll  137591
“0FB5FDE8C671DF1DFC876753EAA1CF26” -> 2euhq8zh.dll  137591
“748BEAFB81971267BBFF0981B3F42A45” -> 49ytbsuom4.dll  137591
“9493CAB335FFE1B18E5B45CBC94C7776” -> 9fjexzzpr9.dll  137591
“EAD55F51714E66FF7A3B656F873561E8” -> 9y7apqwk.dll  137591
“3F72577FA356FB1B0A96D178F67B66B9” -> b25okefjt.dll  137591
“836A613AB54261855BC708BA1D9C679C” -> cpzc1k.dll  137591
“6483C68BC022313387F04B3A5FDD7052” -> f4zozhxw.dll  137591
“02E0A6A766136F779A9DED978A331710” -> fbd5f.dll  137591
“CCC1CD53FF9888D1FAB7B6FFCC2F1803” -> fsahaq4s7.dll  134411
“9DC1B72D618676FAC64A61C25A8D71D2” -> gjv3eraq7.dll  137591
“45FA5146E1BA981DECB282C28EB5759C” -> hmci8g.dll  137591
“670FC79942F94B615AF3401135B1A953” -> iqz2za5na.dll  137591
“4DCCAD006A695997DCBEDA7F3B33E7E8” -> j0gsl.dll  137591
“B99BC319272F799E3E372D48E2633F94” -> jqqul9c.dll  137591
“FDE64DCF5E273E583A94C11293FE943C” -> jsepbs.dll  137591
“BA96037581FF82742344695EF752C5A1” -> juahu6pm1.dll  137591
“6EBDD57C7449C009DA2D4D56D1A51AC0” -> ken5ac7tik.dll  137591
“63D8EAB4E78D89AB022E5A68A2D90A48” -> kia7ho30x.dll  137591
“5CAD868745829EFD0C74385B69A8440A” -> mrepde.dll  137591
“C393997D582B92037E582A07C19413E0” -> nnsvlljs.dll  137591
“368BE07ACB75CEB7D809EBBE37599D60” -> ppgfw.dll  137591
“B58C9C34023D42E97EC355D8A1C8B3F5” -> pzzrrnqwaq.dll  137591
“50300ACFE26FADF2FC75A32EEA88AC6B” -> r0zzg.dll  137591
“9BFB4D4EC5A2D1B3976E0F3CFC3520E5” -> rgu7pzr.dll  137591
“B082A9CB55EDC59C583883B4080BD0A1” -> spm2u1vbu.dll  137591
“88C278040C318BD0DAC71A2D00424072” -> tmlzw4co.dll  137591
“79589AF9B24E04BC2597038BC56F70BC” -> vqu9d76o.dll  137591
“B908A02ADE40A29CF439E125FA534B9D” -> y5nxn8.dll  137591
“B352057A0872F5273D8F1506F2EA1E88” -> yrcmcc8.dll  137591

A pesar de ser casi todas ellas de igual tamaño, y tener la misma descripción:

DESCRIPCIÓN DEL ARTÍCULO: RELOCATOR RENDERING LIBRERY
COPYRIGHT (c) 2014   Mythicsoft

requieren diferentes cadenas de detección para cada una, aplicadas al ELISTARA 35.67 antes indicado.

Y subido al VirusTotal la que tiene diferente tamaño, ofrece el siguiente informe:

MD5 ccc1cd53ff9888d1fab7b6ffcc2f1803
SHA1 7652bc271742ba7236233c0338171cd3ac988416
File size 131.3 KB ( 134411 bytes )
SHA256:  f232d6854a5c8f294d2b66d38b098eb80b261527b3c1c697076b10cdd49f477a
File name:  fsahaq4s7.dll
Detection ratio:  27 / 57
Analysis date:  2016-11-22 11:35:52 UTC ( 5 minutes ago )
0
1

Antivirus  Result  Update
AVG  FileCryptor.NGU  20161122
Ad-Aware  Trojan.Ransom.BDR  20161122
AhnLab-V3  Trojan/Win32.Locky.R190903  20161122
Arcabit  Trojan.Ransom.BDR  20161122
Avast  Win32:Malware-gen  20161122
Avira (no cloud)  TR/FileCoder.Y.59  20161122
BitDefender  Trojan.Ransom.BDR  20161122
Bkav  W32.eHeur.Malware09  20161122
CrowdStrike Falcon (ML)  malicious_confidence_89% (D)  20161024
Cyren  W32/Trojan.WWNL-3313  20161122
DrWeb  Trojan.Encoder.3976  20161122
ESET-NOD32  Win32/Filecoder.Locky.D  20161122
Emsisoft  Trojan.Ransom.BDR (B)  20161122
F-Secure  Trojan.Ransom.BDR  20161122
GData  Trojan.Ransom.BDR  20161122
Invincea  trojan.win32.necurs.a  20161018
Malwarebytes  Ransom.Locky  20161122
McAfee  Artemis!CCC1CD53FF98  20161122
McAfee-GW-Edition  Artemis!Trojan  20161122
eScan  Trojan.Ransom.BDR  20161122
Qihoo-360  HEUR/QVM39.1.0000.Malware.Gen  20161122
Rising  Malware.Generic!glWY3GR55jR@2 (thunder)  20161122
Sophos  Mal/Generic-S  20161122
Tencent  Win32.Trojan.Raasj.Auto  20161122
TrendMicro  Ransom_LOCKY.DLDTAQP  20161122
TrendMicro-HouseCall  Ransom_LOCKY.DLDTAQP  20161122
ViRobot  Trojan.Win32.Locky.134411.A[h]  20161122

En esta ocasión, McAfee ya lo detecta heuristicamente, pero no asi Kaspersky, por lo que les enviamos a estos últimos muestra para que la analicen y añadan su detección a las nuevas versiones de su antivirus.

Dicha versión del ELISTARA 35.67 que los detecta y elimina, estará disponible en nuestra web a partir del 23-11-2016
saludos

ms, 22-11-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies