NUEVO MAIL MALICIOSO CON ASUNTO “la Factura” anexa fichero .js con NEMUCOD que instala nuevo CRYPTOLOCKER

Con un texto bien escueto pero con un anexado fatídico, se recibe este mail:

MAIL MALICIOSO
_______________

Asunto: la Factura
De: “Sofia Morales” <Morales@home-pcrepairs.es>
Fecha: 11/04/2017 15:25
Para: “DESTINATARIO”

Hola “DESTINATARIO”

la Factura.

Saludos,
Sofia Morales

ANEXADO 762135.js <— fichero malicioso que contiene downloader Nemucod, que instala Cryptolocker

_________________
FIN MAIL MALICIOSO

Como otras veces, en el fichero anexado al mail hay un downloader que descarga e instala un ransomware que en este caso es el CRYPTOLOCKER, ya típico en los que hacen referencia a una FACTURA…

El Cryptolocker que instala en esta ocasión ha sido una nueva variante aun poco controlado los actuales antivirus, segun puede verse en el preanalisis de viristotal:

El fichero descargado que contiene dicho CRYPTOLOCKER ha sido un ahejdpob.exe, que pasamos a controlar, junto con el NEMUCOD que lo descarga, a partir del ELISTARA 36.64 de hoy

El preanalisis de virustotal de dicha nueva variante ofrece el siguiente informe:

MD5 d3c295642713d164d754b80953250a8c
SHA1 a7f9dca8476add8d3503c8594ef316bcafdbfe53
Tamaño del fichero 422.4 KB ( 432499 bytes )
SHA256: 4194411ce5082483f7bba0ca878ba7e850ab4fa5cc65cc8f4a283e83da0a1c6c
Nombre: ahejdpob.exe
Detecciones: 7 / 61
Fecha de análisis: 2017-04-12 07:47:43 UTC ( hace 0 minutos )

total actual de virustotal:

Dada la novedad y pocos antivirus que lo detectan, enviamos muestra a los principales fabricantes para que la analicen y añadan a sus nuevas versiones de antivirus

Dicha verisón ELISTARA 36.64 que lo detecta y elimina, estará disponible en nuestra web a partir del 13-4 prox.

saludos

ms, 12-4-2017