Y MAS MAILS MALICIOSOS CON ENLACE AL DROPBOX Y DESCARGA DEL DOWNLOADER NEMUCOD

Recibimos mas mails con un enlace al DROPBOX que descargan un fichero .ZIP que contiene fichero .js con downloader NEMUCOD, que esperabamos descargara un Cryptolocker, pero que esta vez no ha podido y actualmente ha descargado fichero de cero bytes (inútil, claro !)

 

MAIL MALICIOSO:
_______________
Asunto: Pago seguro
De: “Adriana Rubio” <Adriana@residencialascanteras.es>
Fecha: 25/04/2017 21:41
Para: “DESTINATARIO…

destinatario

Detalles del pago: https://dl.dropboxusercontent.com/s/6pxxvftebv????/712401.zip?dl=0
Espero su respuesta.

Saludos,
Adriana Rubio
______________________
FIN DEL MAIL MALICIOSO

y otro similar:
MAIL MALICIOSO
______________
Asunto: Nuestro negocio
De: “Sofia Perez” <bpelletier-thibault@sat.qc.ca>
Fecha: 25/04/2017 18:37
Para: “destinatario …

Hola destinatario

la Factura: https://dl.dropboxusercontent.com/s/i7a95n20a????/902726.zip?dl=0
Si requiere más información no dude en contactarme.

Cordialmente,
Sofia Perez

__________________
FIN MAIL MALICIOSO

Dichos enlaces al DROPBOX descargan un ZIP que contienen un .JS que instala un downloader NEMUCOD, que pasamos a controlar a partir del ELISTARA 36.71 de hoy
El preanalisis de virustotal del ultimo de dichos ficheros ofrece el siguiente informe:

MD5 e1b93dd390887e0f8b4d113cd06830b5
SHA1 7f8b1eaea40ac4318f033c0e690da5c039407a6c
Tamaño del fichero 7.3 KB ( 7525 bytes )
SHA256:
5236b9643cca5d00c6c7e3f81c6dd7aac12f483e33fd019e113fa4d3c0bdb660
Nombre:
902726.js
Detecciones:
5 / 57
Fecha de análisis:
2017-04-26 08:31:01 UTC ( hace 0 minutos )

Y el informe actual del virustotal es este

En este momento dichos downloaders descargan fichero de cero bytes, quizas por estar capado el acceso, pero se supone que normalmente descargan Cryptolockers que si no los conoce el ELISTARA, seguro que identifica como sospechosos el CLRANSOM, asi que si se recibe alguno de dichos mails, NO EJECUTARLO, y si se ha hecho, ver si lo detecta y elimina el ELISTARA, y sino proceder con el CLRANSOM.EXE

Dicha versión del ELISTARA 36.71 que detecta y elimina dichos NEMUCOD, estará disponible en nuestra web a partir del 27-4 prox

saludos

ms, 26.4.2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies