NUEVO MAIL MASIVO QUE CONTIENE LINK CON DOMINIO .za Y DESCARGA NEMUCOD QUE INSTALA UN RANSOMWARE CERBER 4 (INFO)

Publicado el 6 marzo 2017 ¬ 11:20 amh.mscComentarios desactivados en NUEVO MAIL MASIVO QUE CONTIENE LINK CON DOMINIO .za Y DESCARGA NEMUCOD QUE INSTALA UN RANSOMWARE CERBER 4 (INFO)

En un escueto mail que solo lleva el remitente y un enlace a la descarga del malware, llega este MAIL MASIVO:

Asunto: 50171 sat
De: <info@ngkerk.org.za>
Fecha: 06/03/2017 9:04
Para: “DESTINATARIO”

ANEXADO: Enlace a descarga del downloader en cuestión.

 

Fijarse en el dominio .za del remitente, que es el dominio de nivel superior geográfico (ccTLD) para Sudáfrica. La denominación procede del nombre en holandés del país, Zuid-Afrika (.za) Solo por ello ya debiera sospecharse de dicho mail, pero …

El preanalisis de virustotal del downloader NEMUCOD descargado, ofrece el siguiente informe:

MD5 f7bb117f39f2657515830ee92bcb50ed
SHA1 77144556fa980fd0c60c4f28955798062031fd95
Tamaño del fichero 28.4 KB ( 29061 bytes )
SHA256: cf699e17f83962995e9d48b6fc661402a5bee059e7db4d9c41f80009c4c8087c
Nombre: 11045.js
Detecciones: 2 / 56
Fecha de análisis: 2017-03-06 09:48:33 UTC ( hace 1 minuto )

total.com/es/file/cf699e17f83962995e9d48b6fc661402a5bee059e7db4d9c41f80009c4c8087c/analysis/1488793713/

Y como deciamos en el título, descarga un CERBER4 que tambien pasamos a controlar a partir del ELISTARA 36.37 de hoy, junto con otros que nos han llegado de la misma familia, cuyos MD5 son los siguientes:

“3C7039B1CC0F9025D1C8F71E5946364B” -> 3c7039b1.exe 385706
“B34D6F9123CAA57009AD54341F8D9003” -> b34d6f91.exe 282136
“B4B6EAEF7D2BFDE8A2CAA02CA645EF4C” -> b4b6eaef.exe 243897

Y el Ransomware CERBER 4 descargado por el NEMUCOD arriba indicado, ofrece el siguiente informe:

MD5 b34d6f9123caa57009ad54341f8d9003
SHA1 4f6b3bff4bf225b0251d580ef631f4438e87a83e
Tamaño del fichero 275.5 KB ( 282136 bytes )
SHA256: 51cb617ce715dae8a73800f9393d08d0e749244779d5e8fc85314982f161509c
Nombre: b34d6f91.exe
Detecciones: 17 / 59
Fecha de análisis: 2017-03-06 09:59:30 UTC

total.com/es/file/51cb617ce715dae8a73800f9393d08d0e749244779d5e8fc85314982f161509c/analysis/1488794370/

Como ya hemos indicado en otros casos, este ransomware cambia los nombres de los ficheros que cifra y su extensión, dejando al final 4 ficheros variables según sistema, haciendo mas dificil las restauración específica de los mismos, además de que no se conocen actualmente herramientas gratuitas para su descifrado, por lo que se recuerda la conveniencia de TENER ACTUALIZADAS LAS COPIAS DE SEGURIDAD FUERA DEL ACCESO DE UNIDADES COMPARTIDAS, para que no sea cifrada también por cualquier ataque de ransomwares como este, y asi evitar el tener que pagar el hacker causante, lo cual nunca se recomienda, claro.

saludos

ms, 6.3.2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies