SIGUEN LLEGANDO INFECCIONES CON NUEVAS VARIANTES DEL CRYPTOLOCKER RECIBIDO EN FALSO MAIL DE ENDESA

Publicado el 9 junio 2016 ¬ 11:24 amh.mscComentarios desactivados en SIGUEN LLEGANDO INFECCIONES CON NUEVAS VARIANTES DEL CRYPTOLOCKER RECIBIDO EN FALSO MAIL DE ENDESA

A pesar de los avisos que se han dado al respecto, la picaresca del falso mail de ENDESA que descarga e instala una variante del ransomware CRYPTOLOCKER, engaña a usuarios que pulsan sobre el link de descarga para visualizar la factura…

Y no paran de salir nuevas variantes, como esta que la detectan muy pocos antivirus por su novedad, algunos solo detectan el downloader de descarga y otros el ransomware descargado…

El preanalisis de virustotal ofrece el siguiente informe:

Del JS que llega en el ZIP de entrada:

MD5 3bdd7545525e153d1dfbbcbe173005dd

SHA1 456a9a7f676d05cd134b1e527f56401caede7ff4
Tamaño del fichero 7.0 KB ( 7120 bytes )
SHA256: 6d963b34d887a3315f35618954d4f06a9cdf70f0acdfd3981f1ce967f432b3ad
Nombre: ENDESA_FACTURA(09).js
Detecciones: 8 / 57
Fecha de análisis: 2016-06-09 08:43:11 UTC ( hace 2 minutos )
0 2

Antivirus Resultado Actualización
Arcabit HEUR.JS.Trojan.ba 20160609
ClamAV Win.Malware.Locky-24680 20160609
Cyren JS/Locky.W4!Eldorado 20160609
F-Prot JS/Locky.W4!Eldorado 20160609
McAfee JS/Nemucod.ih 20160609
Qihoo-360 virus.js.gen.55 20160609
Rising Downloader.Nemucod!8.34-WqgWJ02VVhL (Cloud) 20160609
Symantec JS.Downloader 20160609

y la ejecución de dicho JS genera e instala el EXE de marras, que ofrece el siguiente informe:

MD5 cf446f30912967b4edcd04fc486e7024
SHA1 021a18d1d43ed8cc47f61d3889eeb3329be863b1
Tamaño del fichero 353.4 KB ( 361871 bytes )
SHA256: a16a045c9d99653746a42f2eb6207ef190083404b12fcf83214907c992e2b135
Nombre: asygykyx.exe
Detecciones: 3 / 56
Fecha de análisis: 2016-06-09 09:07:59 UTC ( hace 3 minutos )
0 2
Antivirus Resultado Actualización
Kaspersky UDS:DangerousObject.Multi.Generic 20160609
McAfee-GW-Edition BehavesLike.Win32.AdwareDoma.fc 20160609
Qihoo-360 QVM42.0.Malware.Gen 20160609

Dicha versión del ELISTARA 34,73 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

Mientras, si alguien ha sido víctima de uno de estos Cryptolockers de moda, recordamos que desde ayer tenemos disponible en nuestra web la utilidad CLRANSOM.EXE que indica las claves sospechosas detectadas en el ordenador, para poder obrar en consecuencia y aparcar el virus, añadiendo .VIR a su extensión, aun cuando nadie lo controle todavía.

Ver información de dicha utilidad en tolocker/

saludos

ms, 9-6-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies