Ultimos mails maliciosos que instalan ransomware CRYPTOLOCKER

Se siguen recibiendo mails aparentando estar relacionados con FACTURAS, que anexan fichero instalador del Cryptolocker, los cuales ya pasamos a controlar con el ELISTARA 36.65 de ayer, ya disponible en nuestra web.

Muestras de dichos mails son los siguientes:
MAIL MALICIOSO
______________

(fichero malicioso, conotiene downloader NEMUCOD que instala un Cryptolocker)

Asunto: Método de pago
De: “Elena Sanchez” <info@bemydatejatek.com>
Fecha: 13/04/2017 13:41
Para: DESTINATARIO
DESTINATARIO

Detalles del pago.

Si necesita ayuda adicional, sírvase a contactarme.

Se despide cordialmente,
Elena Sanchez
ANEXADO 738182.js   (fichero malicioso con downloader NEMUCOD que descarga e instala nueva variante de Cryptolocker)

______________

FIN MAIL MALICIOSO
EL fichero anexado en este caso es un downloader Nemucod, cuyo preanalisis de viristotal ofrece el siguiente informe:
MD5 46a408d4c9a797695b592f114963df8b
SHA1 74afffee0139ef1e843456bf301f2934cf18aaf8
Tamaño del fichero 7.1 KB ( 7286 bytes )
SHA256:
95a3791e2520d95e6a0c88a7b7f01d1c75681474b208734d4acc90dd06782022
Nombre:
738182.js
Detecciones:
14 / 57
Fecha de análisis:
2017-04-19 07:26:11 UTC ( hace 2 minutos )

https://www.virustotal.com/es/file/95a3791e2520d95e6a0c88a7b7f01d1c75681474b208734d4acc90dd06782022/analysis/1492586771/
—————-
y otro similar:

MAIL MALICIOSO
______________
Asunto: Factura DOC
De: “Sergio Sanchez” <Sergio@activpac.es>
Fecha: 17/04/2017 15:36
Para: “DESTINATARIO

Hola DESTINATARIO

Esta es tu factura.

Si requiere información adicional no dude en contactarme.

Cordialmente,
Sergio Sanchez
ANEXADO: 870301.doc (FICHERO doc con macros maliciosas que instalan CRYPTOLOCKER)

________________

FIN MAIL MALICIOSO

En este caso al ejecutar el DOC con macros (lo cual NUNCA se debe hacer), instalan otra variante del Cryptolocker, cuyo preanalisis del viristotal ofrece el siguiente informe:
El preanalisis de virustotal del fichero EXE instalado (el realmente Cryptolocker) ofrece el siguiente informe:

MD5 9c0dfa80addeaf9cee8969a0a99142c9
SHA1 59d60dfc4708f0e57f9581a29bf4b9100628b795
Tamaño del fichero 390.2 KB ( 399586 bytes )
SHA256:
6e89e359c503f93d18e0c716a3475c415f1bcfc1f564df05bca06b441fc02620
Nombre:
ovekabip.exe
Detecciones:
21 / 62
Fecha de análisis:
2017-04-19 07:53:54 UTC ( hace 0 minutos )

Informe actual de virustotal:
https://www.virustotal.com/es/file/6e89e359c503f93d18e0c716a3475c415f1bcfc1f564df05bca06b441fc02620/analysis/1492588434/


 

y otro mas, con el dominio del remitente del mail .de (Alemania), lo cual puede ser normal para muchos, pero no para otros…  (fijarse en ello !)

MAIL MALICIOSO
_______________
Asunto: Método de pago
De: “Sofia Castro” <Sofia@werma.de>
Fecha: 18/04/2017 14:13
Para: “DESTINATARIO”

Hola DESTINATARIO

la Factura.

Si necesita ayuda adicional, sírvase a contactarme.

Respetuosamente,
Sofia Castro
ANEXADO : 684062.doc (FICHERO doc con macros maliciosas que instalan CRYPTOLOCKER)

_______________

FIN MAIL MALICIOSO
En este caso al ejecutar el DOC con macros (lo cual NUNCA se debe hacer), instalan otra variante del Cryptolocker, cuyo preanalisis del virustotal ofrece el siguiente informe:

El preanalisis de virustotal del ejecutable creado por ello, ofrece el siguiente informe:

MD5 c9947fded7edf5e2ab8547ef917cc383
SHA1 6d4182782ad0a637f89e1f66f3e250cb74de3c45
Tamaño del fichero 388.2 KB ( 397478 bytes )
SHA256:
f62dd2dd7c2d1b0011264318d27d7a7a01ca1277b766b4d0815981f65ecbd2f5
Nombre:
uquruqez.exe
Detecciones:
30 / 62
Fecha de análisis:
2017-04-19 07:56:28 UTC ( hace 6 minutos )
el informe actual de dicho preanalisis:
https://www.virustotal.com/es/file/f62dd2dd7c2d1b0011264318d27d7a7a01ca1277b766b4d0815981f65ecbd2f5/analysis/1492588588/
————
Todas estas nuevas variantes de Cryptolocker las hemos pasado a controlar con el actual ELISTARA 36.65 que las detectan y eliminan, pero como que existen continuamente nuevas variantes, recordamos que con nuestra otra utilidad CLRANSOM.EXE (muy rápida al limitarse a explorar el registro de sistema), se detecta cual es el ordenador infectado (si no se sabe) y se indica en el infosat.txt resultante, la ruta y nombre del fichero malware, el cual puede renombrarse añadiendo .VIR a su extensión y asi poder reiniciarlo sin cargar de nuevo el virus, aparte de pedirles que nos envien dicho fichero a virus@satinfo.es para su análisis y control en las nuevas versiones del ELISTARA (aparte de enviarlas a los fabricantes de antivirus para que incluyan su control en las siguientes versiones)

Y con ello avisar una vez mas de que NO SE DEBEN EJECUTAR FICHEROS NI ENLACES NI PULSAR SOBRE IMAGENES RECIBIDOS EN MAILS NO SOLICITADOS !!!
saludos

ms, 19-4-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies