Y EL PRIMERO DE HOY, UNA NUEVA VARIANTE DEL CRYPTOLOCKER AUNQUE LE DELATA EL DOMINIO POCO USUAL DEL REMITENTE DEL MAIL, .ca (del Canadá)

Publicado el 19 abril 2017 ¬ 11:26 amh.mscComentarios desactivados en Y EL PRIMERO DE HOY, UNA NUEVA VARIANTE DEL CRYPTOLOCKER AUNQUE LE DELATA EL DOMINIO POCO USUAL DEL REMITENTE DEL MAIL, .ca (del Canadá)

Se está recibiendo un mail malicioso con este texto:

 

MAIL MALICIOSO
______________

Asunto:
Pago seguro
Fecha:
Tue, 18 Apr 2017 19:09:51 +0200
De:
Carmen Rubio <Carmen@blueforest.ca>
Para:
DESTINATARIO
Hola

Detalles del pago.

Espero su respuesta.

Respetuosamente,
Carmen Rubio

anexado: 526335.doc   (con macros maliciosas cuya ejecución instalan ransomware Cryptolocker )

__________________
FIN MAIL MALICIOSO

 

Como se ve, de entrada el mail viene de Canadá (dominio .ca en el remitente) , bastante atípico para muchas empresas españolas, y el DOC anexado contiene macros, QUE NUNCA DEBEN ABRIRSE por poder contener virus, o bien analizarlas previamente !!!

La ejecución de las macros en cuestión, instalan una variante del fatídico ransomware Cryptolocker, en este caso un ikigopub.exe, cuyo preanalisis de viristotal ofrece el siguiente informe:

MD5 e09f6edabebf6722efa0c2976a4c0a5b
SHA1 1c5d2c6b71e5a0880ee626222df8f2bff06a1fea
Tamaño del fichero 361.5 KB ( 370155 bytes )
SHA256: 5013e33d82de1775e8b7f5d666998dae5e8af1ea4e7d0d4236aad60ce25cf3dd
Nombre: ikigopub.exe
Detecciones: 13 / 61
Fecha de análisis: 2017-04-19 08:58:07 UTC ( hace 0 minutos )

Ver informe actual de virustotal:
total.com/es/file/5013e33d82de1775e8b7f5d666998dae5e8af1ea4e7d0d4236aad60ce25cf3dd/analysis/1492592287/
Dicha versión del ELISTARA 36.66 que lo detecta y elimina, estará disponible en nuestra web a partir del 20-4 prox

Y NUESTRO COLOFÓN AL RESPECTO, AUNQUE LO HAYAMOS REPETIDO HASTA LA SACIEDAD: APARTE DE NO DEBERSE ABRIR FICHEROS ANEXADOS A MAILS NO SOLICITADOS, NO ABRIR NUNCA LAS MACROS DE LOS DOC, y como que son dos los últimos mails recibidos con dominio del remitente .de (Alemania) y este .ca (Canadá), si no se tienen proveedores en dichos paises, comprobar que el remitente sea realmente un proveedor conocido, o pedirles confirmación de dicho mail, o simplemente pedirles duplicado de la supuesta factura en PDF y ojo con las extensiones, no sea que lo que envien sea un fichero con doble extensión .PDF.EXE , y si no tienen configurado windows para ver TODAS LAS EXTENSIONES, no vayan a ejecutar un EXE si es el caso que les envian algo… aunque no sea probable, pero…

EN FIN MUCHO CUIDADO CON LOS ANEXADOS QUE LLEGUEN ADJUNTOS A MAILS, incluidos enlaces (al DROPBOX por ejemplo) o con imagenes en las que se indique pulsar en ellas… !!!

saludos

ms, 19-4-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies