NUEVA VARIANTE DE CRYPTOLOCKER RESULTANTE DE LA INFECCION POR MACROS MALICIOSAS

El EXE resultante de la ejecución de las macros maliciosas del último mail recibido al respecto, genera e instala este EXE, que es realmente el Cryptolocker propiamente dicho, y que pasamos a controlar a partir del ELISTARA 36.59 de hoy,

MD5 d09fe8714b0210e4d3962d227c332a7f
SHA1 ace1bb57f73fe329f7f48a0d594a927f5d7bca03
Tamaño del fichero 454.4 KB ( 465355 bytes )
SHA256: 729e3687ca19cee3762d56330f1d1aa1a28498b2cb8156e0fd791d7b4eb1fc77
Nombre: opubifcj.exe
Detecciones: 13 / 62
Fecha de análisis: 2017-04-05 08:54:09 UTC ( hace 1 minuto )

total actual

Dicha versión del ELISTARA 36.59 que lo detecta y elimina, estará disponible en nuestra web a partir del 6.4 prox

Dado que van apareciendo nuevas variantes que los antivirus no conocen inicialmente, como en este caso que actualmente solo conocen 13 de 62, y este ransomware persiste en el siguiente reinicio, es imprescindible eliminarlo, aunque sea manualmente, de la máquina donde se haya ejecutado, la cual seguiría codificando ficheros de unidades compartidas al arrancar nuevamente, por lo que conviene saber ruta y nombre del fichero causante, asi como el terminal en el que se encuentra, para lo que recordanmos que disponemos de nuestra utilidad CLRANSOM.EXE (claves del ransomware) que indica la existencia de claves sospechosas de dicho ransomware muy ràpidamente, indicando ubicación y nombre del fichero malicioso, que si no la ha detectado aun el antivirus, conviene añadir .VIR a su extensión para aparcarla y que no siga actuando, y enviarnos dicha muestra para analizarla y añadir su control y eliminación en las proximas versiones del ELISTARA, si aun no la controlamos.

Dicha utilidad CLRANSOM.EXE se puede descargar de www.satinfo.es :

http://satinfo.es/web-wp/index.php/descargas/enlaces-de-interes/ y escoger CLRANSOM.ZIP

(para desempaquetarlo utilizar contraseña satinfo)

Esperamos que les sea de utilidad.

saludos

ms, 5-4-2017