SIGUEN LLEGANDO MAILS ANEXANDO ZIP QUE CONTIENE XLS CON MACROS MALICIOSAS QUE GENERAN CRYPTOLOCKER

SIGUEN LLEGANDO MAILS ANEXANDO ZIP QUE CONTIENE XLS CON MACROS MALICIOSAS QUE GENERAN CRYPTOLOCKER

Con el ASUNTO LA FACTURA, se están recibiendo mails anexando fichero XLS con macros que generan una variante del ransomware cryptolocker.

El mail en cuestión es del siguiente tipo:

MAIL MASIVO MALICIOSO
_____________________

Asunto: su factura
De: “Adriana Munoz” <Munoz20@xmail.es>
Fecha: 09/03/2017 11:46
Para: “destinatario” <…>

Hola DESTINATARIO

Información sobre la factura.

Saludos,
Adriana Munoz

anexado: 508430.ZIP ( contiene 733282.xls con macros que instalan Cryptolocker)

__________________
FIN MAIL MALICIOSO

Como que en la anterior Noticia hemos publicado el analisis del EXE que instala dicho XLS, en este ofrecemos el analisis del XLS que contiene las macros, si bien con el ELISTARA solo controlamos el EXE que generan las macros en cuestión, y que queda instalado en el ordenador en el que se ejecuta.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 cf86f7ddfec10e3296aa0f2772d53b02
SHA1 ca3ed32381b990b80a05e5129116c885e4f570ff
Tamaño del fichero 162.0 KB ( 165888 bytes )
SHA256: fb37dd5798818db992a5f96ace23b15daf85f2b68b299fec8139dadd624c652e
Nombre: 733282.xls
Detecciones: 12 / 56
Fecha de análisis: 2017-03-09 13:29:16 UTC ( hace 4 minutos )

https://www.virustotal.com/es/file/fb37dd5798818db992a5f96ace23b15daf85f2b68b299fec8139dadd624c652e/analysis/1489066156/

Como puede verse McAfee ya detecta dicha nueva variante, si bien es con los DAT de hoy, 20170309, y según Kaspersky,respondiendo a la muestra que les hemos enviado tambien pasan a controlarlo .

Con nuestro ELISTARA 36.39, actualmente disponible en nuestra web, ya se controla y elimina dicha variante.

saludos

ms, 8-3-2017