NUEVA VARIANTE DE RANSOMWARE CRYPTOLOCKER QUE DESCARGA UN DOWNLOADER NEMUCOD RECIBIDO EN MAIL SOBRE FACTURA…

De nuevo se recibe un mail con el asunto “LA FACTURA”…

MAIL MALICIOSO
______________

Asunto: la Factura
De: “Paula Sanz” <Sanz4939@vanexelinformatica.es>
Fecha: 06/04/2017 18:33
Para: “destinatario”

DESTINATARIO

la Factura.

Saludos cordiales,
Paula Sanz
ANEXADO: 801917.zip <— contiene 801917.js con downloader NEMUCOD que descarga iwiryzuw.exe con el Cryptolocker
__________________
FIN MAIL MALICIOSO

Ambos ficheros pasan a ser controlados a partir del ELISTARA 36.61 de hoy

El preanalisis de virustotal sobre el .js del NEMUCOD ofrece el siguiente informe_

MD5 7d366e7bc3e30804c78083279f74fade
SHA1 e65474c5eb8fd0c69d1db23cf83719e59eb3a421
Tamaño del fichero 798 bytes ( 798 bytes )
SHA256: 145b19f5b15fd18fa4c0d063f8b68d80a02a851b0dc1fb5047fad5ff34f0e82b
Nombre: 801917.js
Detecciones: 11 / 56
Fecha de análisis: 2017-04-07 08:43:28 UTC ( hace 2 minutos )

total

y el exe conteniendo el CRYPTOLOCKER propiamente dicho:

MD5 e93be8750ef816db23b832cb5af9aa65
SHA1 ea6539bd03099a52b2d5a5273fbd939db428635a
Tamaño del fichero 467.7 KB ( 478969 bytes )
SHA256: cd8bf614c66d12fd0d8e9757c8889ccedfe651c4685fe5141ce27d3c8fae45de
Nombre: iwiryzuw.exe
Detecciones: 14 / 61
Fecha de análisis: 2017-04-07 08:58:35 UTC ( hace 1 minuto )

total

Dicha versión del ELISTARA 36.61 que lo detecta y elimina, estará disponible en nuestra web a partir del 8-4-2017

saludos

ms, 7-4-2017

NOTA: RECORDAMOS QUE LAS NUEVAS VARIANTES DEL CRYPTOLOCKER QUE AUN NO SE DETECTAN NI CON EL ANTIVIRUS NI CON EL ELISTARA, PUEDEN SER DETECTADAS Y APARCADAS MANUALMENTE CON EL CLRANSOM.EXE, AL NO DEPENDER DE LOS MD5 , Y QUE ESTE RANSOMWARE, A DIFERENCIA DE LOS LOCKY, CERBER4 Y SIMILARES, PERSISTE TRAS REINICIAR, POR LO QUE DEBE ELIMINARSE ANTES DE RESTAURAR FICHEROS CIFRADOS O DE VOLVER A CONECTAR EL ORDENADOR  EN RED.   ms. 7-4-2017