Y MAS MAILS MALICIOSOS CON ENLACE AL DROPBOX Y DESCARGA DEL DOWNLOADER NEMUCOD
Recibimos mas mails con un enlace al DROPBOX que descargan un fichero .ZIP que contiene fichero .js con downloader NEMUCOD, que esperabamos descargara un Cryptolocker, pero que esta vez no ha podido y actualmente ha descargado fichero de cero bytes (inútil, claro !)
MAIL MALICIOSO:
_______________
Asunto: Pago seguro
De: “Adriana Rubio” <Adriana@residencialascanteras.es>
Fecha: 25/04/2017 21:41
Para: “DESTINATARIO…
destinatario
Detalles del pago: https://dl.dropboxusercontent.com/s/6pxxvftebv????/712401.zip?dl=0
Espero su respuesta.
Saludos,
Adriana Rubio
______________________
FIN DEL MAIL MALICIOSO
y otro similar:
MAIL MALICIOSO
______________
Asunto: Nuestro negocio
De: “Sofia Perez” <bpelletier-thibault@sat.qc.ca>
Fecha: 25/04/2017 18:37
Para: “destinatario …
Hola destinatario
la Factura: https://dl.dropboxusercontent.com/s/i7a95n20a????/902726.zip?dl=0
Si requiere más información no dude en contactarme.
Cordialmente,
Sofia Perez
__________________
FIN MAIL MALICIOSO
Dichos enlaces al DROPBOX descargan un ZIP que contienen un .JS que instala un downloader NEMUCOD, que pasamos a controlar a partir del ELISTARA 36.71 de hoy
El preanalisis de virustotal del ultimo de dichos ficheros ofrece el siguiente informe:
MD5 e1b93dd390887e0f8b4d113cd06830b5
SHA1 7f8b1eaea40ac4318f033c0e690da5c039407a6c
Tamaño del fichero 7.3 KB ( 7525 bytes )
SHA256:
5236b9643cca5d00c6c7e3f81c6dd7aac12f483e33fd019e113fa4d3c0bdb660
Nombre:
902726.js
Detecciones:
5 / 57
Fecha de análisis:
2017-04-26 08:31:01 UTC ( hace 0 minutos )
En este momento dichos downloaders descargan fichero de cero bytes, quizas por estar capado el acceso, pero se supone que normalmente descargan Cryptolockers que si no los conoce el ELISTARA, seguro que identifica como sospechosos el CLRANSOM, asi que si se recibe alguno de dichos mails, NO EJECUTARLO, y si se ha hecho, ver si lo detecta y elimina el ELISTARA, y sino proceder con el CLRANSOM.EXE
Dicha versión del ELISTARA 36.71 que detecta y elimina dichos NEMUCOD, estará disponible en nuestra web a partir del 27-4 prox
saludos
ms, 26.4.2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.