VARIANTES DE RANSOMWARE LOCKY QUE INSTALAN LOS DOWNLOADER NEMUCOD ANEXADOS A MAIL MASIVO

Publicado el 23 marzo 2016 ¬ 11:35 amh.mscComentarios desactivados en VARIANTES DE RANSOMWARE LOCKY QUE INSTALAN LOS DOWNLOADER NEMUCOD ANEXADOS A MAIL MASIVO

Hoy hemos recibido varios mails anexando ZIP que contienen JS que descargan downloader NEMUCOD que instalan ransomware LOCKY, los cuales pasamos a controlar a partir del ELISTARA 34.21 de hoy

Al respecto de los LOCKY’S…:

Se recuerda que este ransomware codifica todos los ficheros de datos de las unidades compartidas dejando un fondo de pantalla con instrucciones para el pago del rescate, en un BMP que elimina el ELISTARA, aparte de TXT con el mismo texto que deja en cada carpeta donde haya codificado ficheros, que dejamos estar para que el usuario sepa donde hay ficheros codificados, y como restaurarlos pagando al hacker, lo cual no aconsejamos, claro.

A los ficheros cifrados les cambia el nombre por el de un identificador “personal” seguido de un numero propio de la infeccion y colocandole como extension la palabra LOCKY.

Una vez terminada la “faena” este ransomware se autoelimina, no dejando clave de relanzamiento en siguientes reinicios.

Si se ha sufrido una codificacion de este tipo, recomendamos pasar el ELISTARA, lo cual eliminará la pantalla de inicio, y luego crear un DOC (con el Word) y copiarlo a una unidad pendrive, y comprobar que ya no es cifrado. Tras ello restaurar los ficheros a partir de la copia de seguridad y eliminar los ficheros TXT de instrucciones dejados por dicho virus, aunque ello no es imprescindible, solo a efectos de limpieza.

Sobre los que hemos recibido hoy, ofrecemos el informe del preanalisis de virustotal:
MD5 d8563ced3630ca1dcff69d77f76cf203
SHA1 80aacdff5df17929343cd8f1a222a410f259df90
Tamaño del fichero 163.5 KB ( 167424 bytes )
SHA256: bc296f5c6ceef7a14694512ef0d42d89d81b75a9d5ea7a471594f2b331ad27b7
Nombre: u3osp.exe
Detecciones: 23 / 56
Fecha de análisis: 2016-03-23 10:17:54 UTC ( hace 1 minuto )
0 1

Antivirus Resultado Actualización
Ad-Aware Trojan.GenericKD.3115483 20160323
AhnLab-V3 Win-Trojan/Lockycrypt.Gen 20160323
Arcabit Trojan.Generic.D2F89DB 20160323
Avast Win32:Malware-gen 20160323
Avira (no cloud) TR/Locky.gjn 20160323
Baidu Win32.Trojan.WisdomEyes.151026.9950.9997 20160322
Cyren W32/Locky.G.gen!Eldorado 20160323
ESET-NOD32 a variant of Win32/Kryptik.ERZL 20160323
F-Prot W32/Locky.G.gen!Eldorado 20160323
GData Win32.Trojan-Ransom.Locky.AD 20160323
Ikarus Trojan.Win32.Crypt 20160323
Kaspersky UDS:DangerousObject.Multi.Generic 20160323
Malwarebytes Ransom.Locky 20160323
McAfee Ransomware-FHB!D8563CED3630 20160323
McAfee-GW-Edition BehavesLike.Win32.Locky.ch 20160323
eScan Trojan.GenericKD.3115483 20160323
Microsoft Ransom:Win32/Locky.A 20160323
Panda Trj/Genetic.gen 20160322
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160323
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 [F] 20160323
Sophos Mal/Generic-S 20160323
Symantec Trojan.Cryptolocker.N 20160323
ViRobot Trojan.Win32.Locky.167424.A[h] 20160323

y otro que tambien pasamos a controlar:
MD5 33c0a750c2da6e484771b7a827b09d96
SHA1 5d9c3e6929944982c292f22af2647f5f80e8f518
Tamaño del fichero 184.0 KB ( 188416 bytes )
SHA256: 347e130c5a2baf489561479048e7ee18a81c5fb329e3297c1da3cac5f6732dd9
Nombre: 43532434.exe
Detecciones: 17 / 57
Fecha de análisis: 2016-03-23 10:25:48 UTC ( hace 1 minuto )
0 7

Antivirus Resultado Actualización
ALYac Trojan.Ransom.LockyCrypt 20160323
AegisLab Uds.Dangerousobject.Multi!c 20160323
AhnLab-V3 Win-Trojan/Lockycrypt.Gen 20160323
Avast Win32:Malware-gen 20160323
Baidu Win32.Trojan.WisdomEyes.151026.9950.9995 20160322
ESET-NOD32 a variant of Generik.EESJLD 20160323
Kaspersky UDS:DangerousObject.Multi.Generic 20160323
Malwarebytes Ransom.Locky 20160323
McAfee RDN/Generic.atd 20160323
McAfee-GW-Edition BehavesLike.Win32.Mabezat.ch 20160323
Microsoft Ransom:Win32/Locky.A 20160323
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160323
Sophos Mal/Generic-S 20160323
Symantec JS.Downloader 20160323
TrendMicro Ransom_LOCKY.KCM 20160323
TrendMicro-HouseCall Ransom_LOCKY.KCM 20160323
ViRobot Trojan.Win32.R.Agent.188416.C[h] 20160323

Dicha version del ELISTARA 34.21 que los detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy

saludos

ms, 23-3-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies