URGENTE: CUIDADO CON LA NUEVA IMAGEN DE LOS MAILS QUE LLEVAN ANEXADO EL CRYPTOLOCKER

Publicado el 13 abril 2017 ¬ 10:52 amh.mscComentarios desactivados en URGENTE: CUIDADO CON LA NUEVA IMAGEN DE LOS MAILS QUE LLEVAN ANEXADO EL CRYPTOLOCKER

URGENTE: CUIDADO CON LA NUEVA IMAGEN DE LOS MAILS QUE LLEVAN ANEXADO EL CRYPTOLOCKER

Justo cuando algunos usuarios nos han indicado que, con muy buen criterio, estan pidiendo a sus proveedores que, en los mails en los que anexan facturas, sean mas extensos y en lugar de limitarse, en el ASUNTO o en el texto del mail, escribir solo “La FACTURA”, o simplemente “FACTURA”, y, como si los hackers ya lo supieran, nos llega el primer mail mas “extenso” para confundir mas a los sufridos usuarios.

El último mail al respecto, dice lo siguiente:

MAIL MALICIOSO CON CRYPTOLOCKER
_______________________________

Asunto: Detalles del pago
De: “Carmen Ramos” <Ramos@bemydatejatek.com>
Fecha: 12/04/2017 15:40
Para: “DESTINATARIO” <destinatario.es>

Hola DESTINATARIO

Información sobre la factura.

Si requiere información adicional no dude en contactarme.

Atentamente,
Carmen Ramos

ANEXADO : 8954515.html <— acceso malicioso a Ramos@bemydate????.com/8954515.html

todo de pago
Factura sin papel

Total: 4632.42 Euros
Haga click aquí para descargar Detalles del pago <— enlace malicioso para descarga de un ZIP del DROPBOX
__________________

FIN MAIL MALICIOSO

El primer enlace malicioso ofrece acceso al último enlace:

El último enlace que indica “Haga CLick aqui para descargar Detalle del pago”, conduce a :

https://dl.dropboxusercontent.com/s/5im9a6qgy????/993367.zip?dl=0

que actualmente indica estar saturado, por la cantidad de usuarios que están accediendo al mismo: (!)

“Error (429)
This account’s links are generating too much traffic and have been temporarily disabled! “

En el momento que analizamos a última hora de ayer, dicho mail, descargamos normalmente el 993367.zip , el cual contenía un EXE (egucypew.exe) que pasamos a controlar a partir del ELISTARA 36.64

El preanalisis de virustotal ofrece el siguiente informe:

MD5 fcf1cc5b6e8bd116b30d0bc7249f0936
SHA1 9e57539a3eddd0c84b2f671ee75d6b89827b94be
Tamaño del fichero 450.0 KB ( 460839 bytes )
SHA256:
a74ae06382cd215ddf01f908cbc7933a33cdf1584cdd102acab1b97104d2de43
Nombre:
egucypew.exe
Detecciones:
16 / 62
Fecha de análisis:
2017-04-13 07:52:37 UTC ( hace 5 minutos )

total actual del virustotal 

En el que puede verse que Kaspersky lo detecta normalmente, y McAfee lo caza heuristicamente con su motor Artemis,

McAfee
Artemis!FCF1CC5B6E8B
20170412

por lo que es MUY CONVENIENTE TENER CONFIGURADA LA SENSIBILIDAD HEURISTICA A NIVEL MUY ALTO, como siempre recomendamos, para asi controlar no solo lo conocido, sino tambien las variantes de lo conocido, aunque a veces son totalmente nuevos, por lo que, además, recordar NO PULSAR EN FICHEROS ANEXADOS A MAILS NO SOLICITADOS !!! (NI EN ENLACES DE LOS MISMOS NI EN IMAGENES)

Dicha versión del ELISTARA 36.64 que lo detecta y elimina, ya está disponible en nuestra web

Esta comunicación se ha enviado con caracter URGENTE, aunque hoy, Jueves Santo, no trabajemos en nuestras oficinas.

Así que ya no vale solo pedir a los proveedores que sean mas explicitos en sus mails de facturas… Era de preveer !!! Y aunque cada vez sea mas dificil, el cuidado de los usuarios cuando reciban mails con ENLACES A DESCARGAS O DIRECTAMENTE ANEXANDO FICHEROS, es cada vez mas importante y recomendable que soliciten al remitente conformidad sobre que realmente son ellos los que lo han enviado, para evitar phishings, spoofings y demás artimañas que puedan confundirnos.

SE NOS OCURRE SE LES PODRIA PEDIR QUE ENVIARAN LAS FACTURAS POR DUPLICADO, Y SI SOLO SE RECIBE UNA, PODER SOSPECHAR DE SU VERACIDAD …

Mucho cuidado y recordar que el Cryptolocker, tras codificar los ficheros de datos de las unidades compartidas, sigue en el ordenador donde se ha ejecutado hasta que se elimina, y que si se ha sufrido dicho ataque y se trata de una variante aun no conocida, nuestro CLRANSOM.EXE indicará si el ordenador todavía tiene programado en el registro de sistema el lanzamienmto del malware, indicando ruta y nombre del fichero, al cual conviene añadirle .VIR a su extensión y asi poder reiniciar sin lanzar de nuevo dicho ransomware, y luego enviarnos el fichero en cuestión para analizarlo y controlarlo en la siguiente versión del ELISTARA, a __________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Spam, Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies