NUEVOS CERBER4 DE UNA FUENTE QUE ENVIA MAILS SIN TEXTO CON ZIP CON JS NEMUCOD QUE LANZA, DE UNA URL, UN PHP CAMBIANTE
Y en este caso ofrecemos un poco de información de como se crean e infectan tan prolificos ransomwares “CERBER4”
Recibido un mail sin texto, solo con un anexado, a saber:
MAIL MALICIOSO
______________
Asunto:
De: <satsang.nu@mail.vresp.com>
Fecha: 08/06/2017 15:16
Para: Destinatario
ANEXADO : Fichero ZIP
__________________
FIN MAIL MALICIOSO
Resulta que este ZIP contiene otro ZIP que a su vez contiene un Downloader .JS-NEMUCOD que descarga y lanza un PHP que va a buscar, en una URL determinada, continuos nuevos CERBER 4 que van infectando, con variantes de dicho ransomware, a los ordenadores en los que se ejecuta el anexado de marras, los cuales cifran los ficheros de las unidades compartidas a las que el ordenador infectado tenga acceso…
Es la historia de los CERBER4, y que además de que el NEMUCOD de hoy busca el PHP de una URL fija, el hacker no solo no se conforma con una sola URL, sino que además el PHP lanzado tiene parámetros (1, 2, 3 etc) que pueden lanzar otros EXE, razón por la que hay tantos CERBER 4 y cabe pensar que pueden ser infinitos, asi que, al respecto, HAY QUE INSISTIR EN LA EDUCACION DE LOS USUARIOS DE NO PULSAR EN LOS FICHEROS ANEXADOS A MAILS NO SOLICITADOS, si no quieren sufrir sus consecuencias !!! (Además de configurar el Nivel heuristico a MUY ALTO, para intentar controlar las variantes de algunos conocidos, lo cual con el VirusScan de McAfee se identifican como “Artemis” por asi llamarse el motor de la heuristica avanzada usado por el VirusScan indicado.
En este caso, el primer EXE descargado por dicho engendro, y que pasamos a controlar a partir del ELISTARA 37.01 de hoy, subido al VIRUSTOTAL, ofrece el siguiente informe:
MD5 cd610bb747bc66212169abad12555a28
SHA1 2f8dc0bd6d3999034ae16f811ad00dfe5bad959e
Tamaño del fichero 304.0 KB ( 311296 bytes )
SHA256:
c62f642f9dc5b0164ada3cbe516909cf8da3059b7e557647cac0a26af3ea86f4
Nombre:
cd610bb7.exe
Detecciones:
21 / 61
Fecha de análisis:
2017-06-09 08:10:58 UTC ( hace 0 minutos )
Como se puede ver, solo una tercera parte de los AV (20 de 61) controlan esta variante, que es la primera que se ha descargado el NEMUCOD en el lanzamiento del PHP en cuestión, si bien seguro que una posterior descarga infectaría con otra variante, que posiblemente sería menos controlada, como veremos al final de esta Noticia.
Debemos indicar que en el preanálisis de esta muestra subida al virustotal, tanto McAfee heurísticamente como el Kaspersky lo detectan, y veamos de otra muestra descargada con el mismo NEMUCOD pero ahora, el resultado del virustotal:
En el que se ve que son solo 17 de 61 los que lo detectan, sin que en este caso lo conozcan aun nuestros AV favoritos, pero con la colaboración de los usuarios, evitando pulsar sobre ficheros anexados a mails no solicitados, además de tampoco pulsar en sus enlaces o imagenes, confiamos ir evitando las nuevas variantes de este u otro congénere !
saludos
ms, 9-6-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.