Y CUANDO CONOCIAMOS AL LOCKY COMO THOR, AHORA VIENE COMO AESIR, EL PRIMERO EN UN FALSO MAIL DE AMAZON

Publicado el 21 noviembre 2016 ¬ 12:03 pmh.mscComentarios desactivados en Y CUANDO CONOCIAMOS AL LOCKY COMO THOR, AHORA VIENE COMO AESIR, EL PRIMERO EN UN FALSO MAIL DE AMAZON

Nueva variante del ransomware LOCKY, ahora con añadido AESIR en las extensiones de los ficheros cifrados.

Avisados por asociados a nuestros servicios, de la presencia de un ransomware que añadía un codigo y la palabra AESIR a la extensión de los ficheros cifrados, acabamos de recibir un  mail con un anexado .js que instala dicha nueva variante del Locky/AESIR

MAIL MALICIOSO:
_______________

Asunto: Your Amazon.com order has dispatched (#169-6373956-4633310)
De: “Amazon Inc” <auto-shipping2@amazon.com>
Fecha: 21/11/2016 10:48
Para: <DESTINATARIO>

Dear Customer,

Greetings from Amazon.com,

We are writing to let you know that the following item has been sent using  Royal Mail.

For more information about delivery estimates and any open orders, please visit: http://www.amazon.com/your-account

Your order #169-6373956-4633310 (received November 20, 2016)
Note: this e-mail was sent from a notification-only e-mail address that can=
not accept incoming e-mail. Please do not reply to this message.=20

Thank you for shopping at Amazon.com

————————————————-
Amazon EU S.=C3=A0.r.L.
c/o Marston Gate
Ridgmont, BEDFORD MK43 0XP
United Kingdom
—————-

FICHERO ANEXADO: ORDER-169-6373956-4633310.ZIP    (contiene fichero DAIBL292024.JS)
___________________
FIN MAIL MALICIOSO

 

Dicho fichero DAIBL292024.JS contenido en el ZIP; descarga e instala una nueva variante de la familia LOCKY, que cifra los ficheros compartidos añadiendo un codigo seguido de la palabra AESIR que identifica la variante en cuestión

En la información sobre el Rescate indican lo siguiente:

instrucciones

 

La DLL que nos ha instalado dicho .JS la pasamos a controlar a partir del ELISTARA 35.66 de hoy

El preanalisis de virustotal ofrece el siguiente informe:
MD5 0c100f825b87b0f018c086a13a1f7cf5
SHA1 4e6e93177f4db5fe67852ac6132d20d09f4c9f06
File size 232.0 KB ( 237568 bytes )
SHA256:  bf5f0715cf5d9c66cffff00811738fa50ade225a4eb26f828e160a5c977388b1
File name:  DrkPSLKREyo1.dll.3260.dr
Detection ratio:  13 / 57
Analysis date:  2016-11-21 10:15:19 UTC ( 43 minutes ago )
0
2

Antivirus  Result  Update
AegisLab  Ransom.Hplocky.Smjba!c  20161121
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9999  20161121
Bkav  W32.eHeur.Malware03  20161121
CrowdStrike Falcon (ML)  malicious_confidence_100% (D)  20161024
Kaspersky  UDS:DangerousObject.Multi.Generic  20161121
McAfee  Artemis!0C100F825B87  20161121
McAfee-GW-Edition  Artemis  20161121
Qihoo-360  HEUR/QVM40.1.0000.Malware.Gen  20161121
Rising  Malware.Generic!mEbPwrWqrZC@2 (thunder)  20161121
Sophos  Mal/RansomDl-C  20161121
Tencent  Win32.Trojan.Raas.Auto  20161121
TrendMicro  Ransom_HPLOCKY.SMJBA  20161121
TrendMicro-HouseCall  Ransom_HPLOCKY.SMJBA  20161121

Dicha versión del ELISTARA 35.66 que lo detecta y elimina, estará disoponible en nuestra web a partir del 22-11-2016

saludos

ms, 21-11-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies