SIGUEN LLEGANDO MAILS ANEXANDO FICHEROS EMPAQUETADOS CONTENIENDO EJECUTABLES WSF, QUE DESCARGAN E INSTALAN RANSOMWARE ZEPTO (SUCESOR DEL LOCKY)
Están de moda los ficheros con extensión .WSF, que son instaladores de ransomwares de la familia ZEPTO, los sucesores de los antiguos LOCKY, que tanto han mareado y ahora siguen estos otros, como este que pasamos a controlar a partir de la version 34.98 del ELISTARA de hoy.
El preanalisis de virustotal del WSF que llega en el ZIP, ofrece el siguiente informe:
MD5 fd7a30805bbeeaacfb1408088978f35b
SHA1 c75cb467ff93daccb13910181a55952f0bcbb60f
Tamaño del fichero 69.5 KB ( 71187 bytes )
SHA256: | 856f9ffdf41a3ae28fc7d39678a5f67ffeeccdced95fed04295c911facd25fb5 |
Nombre: | spreadsheet_684..wsf |
Detecciones: | 19 / 54 |
Fecha de análisis: | 2016-07-15 08:10:23 UTC ( hace 15 minutos ) |
Antivirus | Resultado | Actualización |
---|---|---|
Ad-Aware | Trojan.JS.Downloader.DPW | 20160715 |
Arcabit | Trojan.JS.Downloader.DPW | 20160715 |
Avira (no cloud) | VBS/Dldr.Locky.icit | 20160715 |
BitDefender | Trojan.JS.Downloader.DPW | 20160715 |
Cyren | JS/Locky.AN | 20160715 |
DrWeb | JS.DownLoader.1780 | 20160715 |
Emsisoft | Trojan.JS.Downloader.DPW (B) | 20160715 |
F-Prot | JS/Locky.AN | 20160715 |
F-Secure | Trojan.JS.Downloader.DPW | 20160715 |
Fortinet | JS/Nemucod.0E8D!tr.dldr | 20160715 |
GData | Trojan.JS.Downloader.DPW | 20160715 |
Ikarus | Trojan-Ransom.Script.Locky | 20160715 |
Kaspersky | Trojan-Downloader.JS.Agent.lqi | 20160715 |
Microsoft | TrojanDownloader:JS/Nemucod.FJ | 20160715 |
NANO-Antivirus | Trojan.Script.Heuristic-js.iacgm | 20160714 |
Qihoo-360 | virus.js.gen.70 | 20160715 |
Sophos | JS/Dwnldr-NQQ | 20160714 |
Symantec | JS.Downloader | 20160714 |
TrendMicro-HouseCall | JS_LOCKY.DLDR | 20160715 |
Y la ejecución del mismo, descarga e instala un EXE que es un ransomware ZEPTO, sucesor del antiguo LOCKY, cuyo preanalisis en virustotal ofrece el siguiente informe:
MD5 717247a85a34d9fbdae5327ed0324052
SHA1 b8424dfab9e75d1de253c91c669b2ea84d0f8a1f
Tamaño del fichero 179.5 KB ( 183808 bytes )
SHA256: | 156de77d434c362093df2a4300011f032f47e5c928407fbe1ab99383e4dcfe97 |
Nombre: | 717247a8.exe |
Detecciones: | 30 / 55 |
Fecha de análisis: | 2016-07-15 08:32:46 UTC ( hace 5 minutos ) |
Antivirus | Resultado | Actualización |
---|---|---|
AVG | Crypt5.BXXN | 20160715 |
AVware | Trojan.Win32.Generic.pak!cobra | 20160715 |
Ad-Aware | Gen:Variant.Midie.31049 | 20160715 |
AegisLab | Gen.Variant.Mikey!c | 20160715 |
AhnLab-V3 | Trojan/Win32.Locky.N2047719501 | 20160715 |
Antiy-AVL | Trojan[:HEUR]/Win32.AGeneric | 20160715 |
Arcabit | Trojan.Midie.D7949 | 20160715 |
Avira (no cloud) | TR/Crypt.Xpack.cglu | 20160715 |
Baidu | Win32.Trojan.WisdomEyes.151026.9950.9999 | 20160715 |
BitDefender | Gen:Variant.Midie.31049 | 20160715 |
Bkav | HW32.Packed.9F3C | 20160714 |
Cyren | W32/Trojan.ZBWI-4970 | 20160715 |
ESET-NOD32 | a variant of Win32/Kryptik.FCFE | 20160715 |
Emsisoft | Gen:Variant.Midie.31049 (B) | 20160715 |
F-Secure | Gen:Variant.Midie.31049 | 20160715 |
Fortinet | W32/Filecoder.FCFE!tr | 20160715 |
GData | Gen:Variant.Midie.31049 | 20160715 |
Ikarus | Trojan.Win32.Crypt | 20160715 |
Kaspersky | Trojan-Ransom.Win32.Locky.anu | 20160715 |
Malwarebytes | Ransom.Locky | 20160715 |
McAfee | Ransomware-FLY!717247A85A34 | 20160715 |
McAfee-GW-Edition | BehavesLike.Win32.BadFile.ch | 20160715 |
eScan | Gen:Variant.Midie.31049 | 20160715 |
Panda | Generic Suspicious | 20160714 |
Qihoo-360 | HEUR/QVM20.1.7485.Malware.Gen | 20160715 |
Sophos | Mal/Ransom-EX | 20160715 |
Symantec | Suspicious.Cloud.9 | 20160714 |
Tencent | Win32.Trojan.Kryptik.Afre | 20160715 |
TrendMicro-HouseCall | Ransom_LOCKY.DLXFN | 20160715 |
VIPRE | Trojan.Win32.Generic.pak!cobra | 20160715 |
Dicha versión del ELISTARA 34.98 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 15-7-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.