PUES AHI VAN LOS TRES RANSOMWARES CRYPTOLOCKER INSTALADOS POR DOWNLOADERS NEMUCOD DEL MAIL AL DROPBOX

Publicado el 27 febrero 2017 ¬ 16:57 pmh.mscComentarios desactivados en PUES AHI VAN LOS TRES RANSOMWARES CRYPTOLOCKER INSTALADOS POR DOWNLOADERS NEMUCOD DEL MAIL AL DROPBOX

Como informabamos en anterior Noticia, esta mañana llegaban varios mails apuntando a links de descargas de ficheros ZIP del DROPBOX, que descargaban ficheros .js, los cuales vimos que se trataba de downloaders NEMUCOD y asi los pasamos a controlar

Pero esto no es todo, ya que estos NEMUCOD, que descargan cualquier malware que tengan asignado, van a fastidiar de lo lindo al cifrar todos los ficheros de datos con el RANSOMWARE CRYPTOLOCKER que tristemente conocemos como uno de los peores (junto con el CERBER 4 y el LOCKY OSIRIS y demás parientes) ransomwares que afectan a los usuarios que abren ficheros adjuntos a mails no solicitados, y si encima no tienen actualizada la copia de seguridad, aparte de poder saber la claves de lanzamiento y el fichero culpable con nuestro CLRANSOM.EXE y poder, arrancando en MODO SEGURO, eliminar clave y fichero ( a ser posible guardando una copia del mismo para poder controlarlo si es diferente de los que hoy ya pasamos a controlar con el ELISTARA 36.31) para luego restaurar los datos, una vez reiniciado el sistema sin virus, y poder restaurar los datos de la copia de seguridad.

Y aunque no sabemos si esta variante, con extensiones de ficheros cifrados aleatorias, va a ser posible ser descifrados como lo hacían los del CERT (ver información de la OSI en nuestro blog, en

tolocker-del-falso-mail-de-endesa/ )

recordamos que han colaborado muy satisfactoriamente dichos servicios para anteriores descifrados de varsiones anteriores de los dichosos CRYPTOLOCKER. -Habrá que ver si esta nueva variante tambien logran descifrarla con tanto exito, esperemos que sí ! –

Con todo lo indicado, ahora estamos monitorizando y pasando a analizar los ficheros que han causado el estropicio, y ofrecemos los MD5 correspondientes a los tres primeros que nos generaron los .js de los NEMUCOD en cuestion:

“BE17BE0971F94CE5307B9E610AE4BA62” -> kjapsvuf.exe 378367
“C262231FE30B3C1E14DF620507E8DFAC” -> yceqokuf.exe 343977
“AED4F9383D41AD8C8C2516CD73B39EC9” -> ydyczmyx.exe 381206
Y el preanalisis de VIRUSTOTAL del último de ellos, ofrece actualmente el siguiente informe:

MD5 aed4f9383d41ad8c8c2516cd73b39ec9
SHA1 4a35a9810fe7458b3a14196a97734e6c66eaa94d
Tamaño del fichero 372.3 KB ( 381206 bytes )
SHA256: de856173721e92756677aa13a3dae7e109461d9331518345832da4e90d4f54d0
Nombre: ydyczmyx.exe
Detecciones: 9 / 59
Fecha de análisis: 2017-02-27 15:39:38 UTC ( hace 1 minuto )

total.com/es/file/de856173721e92756677aa13a3dae7e109461d9331518345832da4e90d4f54d0/analysis/1488209978/

Dicha versión del ELISTARA 36.31 que los detecta y elimina, estará disponible con caracter de urgencia en nuestra web a partir de las 18 horas de hoy.

saludos

ms, 27-2-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies