SIGUEN LLEGANDO MAILS ANEXANDO FICHEROS EMPAQUETADOS CONTENIENDO EJECUTABLES WSF, QUE DESCARGAN E INSTALAN RANSOMWARE ZEPTO (SUCESOR DEL LOCKY)

Publicado el 15 julio 2016 ¬ 10:21 amh.mscComentarios desactivados en SIGUEN LLEGANDO MAILS ANEXANDO FICHEROS EMPAQUETADOS CONTENIENDO EJECUTABLES WSF, QUE DESCARGAN E INSTALAN RANSOMWARE ZEPTO (SUCESOR DEL LOCKY)

Están de moda los ficheros con extensión .WSF, que son instaladores de ransomwares de la familia ZEPTO, los sucesores de los antiguos LOCKY, que tanto han mareado y ahora siguen estos otros, como este que pasamos a controlar a partir de la version 34.98 del ELISTARA de hoy.

El preanalisis de virustotal del WSF que llega en el ZIP, ofrece el siguiente informe:

MD5 fd7a30805bbeeaacfb1408088978f35b
SHA1 c75cb467ff93daccb13910181a55952f0bcbb60f
Tamaño del fichero 69.5 KB ( 71187 bytes )

SHA256: 856f9ffdf41a3ae28fc7d39678a5f67ffeeccdced95fed04295c911facd25fb5
Nombre: spreadsheet_684..wsf
Detecciones: 19 / 54
Fecha de análisis: 2016-07-15 08:10:23 UTC ( hace 15 minutos )
Antivirus Resultado Actualización
Ad-Aware Trojan.JS.Downloader.DPW 20160715
Arcabit Trojan.JS.Downloader.DPW 20160715
Avira (no cloud) VBS/Dldr.Locky.icit 20160715
BitDefender Trojan.JS.Downloader.DPW 20160715
Cyren JS/Locky.AN 20160715
DrWeb JS.DownLoader.1780 20160715
Emsisoft Trojan.JS.Downloader.DPW (B) 20160715
F-Prot JS/Locky.AN 20160715
F-Secure Trojan.JS.Downloader.DPW 20160715
Fortinet JS/Nemucod.0E8D!tr.dldr 20160715
GData Trojan.JS.Downloader.DPW 20160715
Ikarus Trojan-Ransom.Script.Locky 20160715
Kaspersky Trojan-Downloader.JS.Agent.lqi 20160715
Microsoft TrojanDownloader:JS/Nemucod.FJ 20160715
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160714
Qihoo-360 virus.js.gen.70 20160715
Sophos JS/Dwnldr-NQQ 20160714
Symantec JS.Downloader 20160714
TrendMicro-HouseCall JS_LOCKY.DLDR 20160715

 

Y la ejecución del mismo, descarga e instala un EXE que es un ransomware ZEPTO, sucesor del antiguo LOCKY, cuyo preanalisis en virustotal ofrece el siguiente informe:

MD5 717247a85a34d9fbdae5327ed0324052
SHA1 b8424dfab9e75d1de253c91c669b2ea84d0f8a1f
Tamaño del fichero 179.5 KB ( 183808 bytes )

SHA256: 156de77d434c362093df2a4300011f032f47e5c928407fbe1ab99383e4dcfe97
Nombre: 717247a8.exe
Detecciones: 30 / 55
Fecha de análisis: 2016-07-15 08:32:46 UTC ( hace 5 minutos )
Antivirus Resultado Actualización
AVG Crypt5.BXXN 20160715
AVware Trojan.Win32.Generic.pak!cobra 20160715
Ad-Aware Gen:Variant.Midie.31049 20160715
AegisLab Gen.Variant.Mikey!c 20160715
AhnLab-V3 Trojan/Win32.Locky.N2047719501 20160715
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160715
Arcabit Trojan.Midie.D7949 20160715
Avira (no cloud) TR/Crypt.Xpack.cglu 20160715
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160715
BitDefender Gen:Variant.Midie.31049 20160715
Bkav HW32.Packed.9F3C 20160714
Cyren W32/Trojan.ZBWI-4970 20160715
ESET-NOD32 a variant of Win32/Kryptik.FCFE 20160715
Emsisoft Gen:Variant.Midie.31049 (B) 20160715
F-Secure Gen:Variant.Midie.31049 20160715
Fortinet W32/Filecoder.FCFE!tr 20160715
GData Gen:Variant.Midie.31049 20160715
Ikarus Trojan.Win32.Crypt 20160715
Kaspersky Trojan-Ransom.Win32.Locky.anu 20160715
Malwarebytes Ransom.Locky 20160715
McAfee Ransomware-FLY!717247A85A34 20160715
McAfee-GW-Edition BehavesLike.Win32.BadFile.ch 20160715
eScan Gen:Variant.Midie.31049 20160715
Panda Generic Suspicious 20160714
Qihoo-360 HEUR/QVM20.1.7485.Malware.Gen 20160715
Sophos Mal/Ransom-EX 20160715
Symantec Suspicious.Cloud.9 20160714
Tencent Win32.Trojan.Kryptik.Afre 20160715
TrendMicro-HouseCall Ransom_LOCKY.DLXFN 20160715
VIPRE Trojan.Win32.Generic.pak!cobra 20160715

 

Dicha versión del ELISTARA 34.98 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 15-7-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies