ULTIMO MAIL MASIVO RECIBIDO HOY CON EL RANSOMWARE LOCKY – AESIR

Un último mail malicioso se está recibiendo con este texto
Asunto: FW:Documents Requested
De: “Madelyn” <Madelyn08@remitente>
Fecha: 22/11/2016 13:04
Para: “destinatario”

Dear “destinatario”,

Please find attached documents as requested.

Best Regards,
Madelyn
anexado: Untitled(481).zip     (conteniendo 5341751_IOEBJ_44883157.wsf)
Como se ve, la descompresion del ZIP genera el fichero .wsf (similar a los .js) que instala una DLL con una variante del ransomware de moda, el LOCKY – AESIR, y que pasamos a controlar a partir del ELISTARA 35.67 de hoy

El preanalisis de virustotal ofrece el siguiente informe:

SHA256:  ca21e05347ecc2e4cbec34e2f7e27344100e88a302a75fa54cffd6f087c43a00
File name:  5341751_IOEBJ_44883157.wsf
Detection ratio:  16 / 54
Analysis date:  2016-11-22 16:42:20 UTC ( 1 minute ago )
0
2

Antivirus  Result  Update
AVware  Trojan-Downloader.JS.Nemucod.bbp (v)  20161122
AegisLab  Html.Expkit.Gen6!c  20161122
Antiy-AVL  Trojan/Generic.ASVCS3S.3F7  20161122
Avira (no cloud)  HTML/ExpKit.Gen6  20161122
Baidu  JS.Trojan-Downloader.Nemucod.ot  20161122
Cyren  JS/Nemucod.CA3!Eldorado  20161122
ESET-NOD32  JS/TrojanDownloader.Nemucod.BOZ  20161122
Fortinet  JS/Agent.25C5!tr  20161122
Ikarus  Trojan-Ransom.Script.Locky  20161122
NANO-Antivirus  Trojan.Script.Heuristic-js.iacgm  20161122
Rising  Trojan.DL.Nemucod!1.A6C4 (classic)  20161122
Symantec  JS.Downloader.D  20161122
Tencent  Js.Trojan.Raas.Auto  20161122
TrendMicro  JS_NEMUCOD.SMK13  20161122
TrendMicro-HouseCall  JS_NEMUCOD.SMK13  20161122
VIPRE  Trojan-Downloader.JS.Nemucod.bbp (v)  20161122

Dicha versión del ELISTARA 35.67 que los detecta y elimina, estará disponible en nuestra web a partir del 23-11-2016
saludos

ms, 22-11-2016