YA DE ENTRADA, BASTANTES MAILS ANEXANDO RANSOMWARE LOCKY (de los que añaden ykcol a la extensión de los cifrados)

Publicado el 6 octubre 2017 ¬ 9:59 amh.mscComentarios desactivados en YA DE ENTRADA, BASTANTES MAILS ANEXANDO RANSOMWARE LOCKY (de los que añaden ykcol a la extensión de los cifrados)

Llegados en mails de todas partes (seguro que con spoofing en el remitente), como de Dinamarca, EE.UU., Holanda, Republica Checa, Brasil,

 

Asunto: Invoice INV000073
De: Emil Roibinette <emil@knudsen4.dk>
Fecha: 05/10/2017 21:32
Para:destinatario

Host: knudsen4.dk
IP: 94.231.109.12
Ciudad: Skanderborg, Denmark

________

 

Asunto:
De: <lorihm@optonline.net>
Fecha: 05/10/2017 18:15
Para: destinatario

Host: optonline.net
IP: 167.206.148.154
País: United States

________

 

Asunto: Invoice INV000985
De: Megan Rhodes <megan@geographical.org>
Fecha: 05/10/2017 21:42
Para: destinatario

Host: geographical.org
IP: 31.186.174.155
País: Netherlands

_________

 

Asunto:
De: <miroslav_rejko@generali.cz>
Fecha: 05/10/2017 14:52
Para: destinatario

Host: generali.cz
IP: 80.188.157.4
País: Czech Republic

_________

 

Asunto: Invoice INV000346
De: Sarah Tyson <sarah@gowd.hypermart.net>
Fecha: 05/10/2017 23:01
Para: destinatario

 

Host: gowd.hypermart.net
IP: 38.113.1.157
País: United States

________

 

Asunto: Invoice
De: Sophia Embury <sophia@valorcap.com.br>
Fecha: 05/10/2017 14:26
Para: destinatario

 

Host: valorcap.com.br
IP: 186.202.149.183
País: Brazil

_________

 

Asunto: Invoice INV000268
De: Vera Constable <vera@rosiebans.com>
Fecha: 05/10/2017 21:06
Para: destinatario

 

Host: rosiebans.com
IP: 192.237.132.248
Ciudad: San Antonio, United States

 

__________

 

Los mails llegan sin texto, solo anexando ficheros empaquetados maliciosos que contienen descargador/Instalador de Variantes del ransomware Locky, de los que añaden ykcol a los ficheros cifrados.

Los datos sobre el MD5 de dichos ficheros son los siguientes:

“D3BCBD531D7B78342C74282287AC8A68” -> 13244.js 48605
“5A42D325D9266CDCBFC6C8EBD848A247” -> 4628083.vbs 11847
“7F3DF9C9D18A0A273CA0BFAF86DAFCA7” -> 6204.js 48044
“2C3B5A61E761A6FD2AE8A4C7F6AA16CD” -> Invoice INV000337.vbs 11758
“2514DA15F1463D846C4EA4CAB94E1530” -> Invoice INV000503.vbs 11913
“4E83335F140E3BE2480F386B00DEDDFD” -> Invoice INV000697.vbs 11459
“5FFED72FC7F6DD96D203A5891BAD284D” -> Invoice INV000705.vbs 11826

y otros dos recien llegados, cuyo preanalisis ofrece este informe

 

https://www.virustotal.com/es/file/35cc83c99a1e0fe5db2c826d41371123d7d6f987d507f7b8d77a3a2b760cc3a3/analysis/1507276020/

 

y mas de lo mismo para este otro, 86927f4d.exe, con el siguiente MD5 : 86927f4d92665747679ab72a9be87b05

 

Todos ellos los pasamos a controlar con el ELISTARA 37.63 de hoy, que estará disponible en nuestra web a partir del 7-10 prox

 

Iguakmente para estos dos llegados al final de la jornada:

https://www.virustotal.com/es/file/1d67781a73eda5a584d8b2ccc50ab7da9ed3146a6a18dc78f7a3b824ee56fd9e/analysis/1507293386/

https://www.virustotal.com/es/file/4359697beebe9e9d4d7255e196deb74d23bb981ac7c215dd18c586f66f7145c8/analysis/1507291303/

 

 

saludos

ms, 6-10-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies