NUEVA VARIANTE DE RANSOMWARE ZEPTO , SUCESOR DEL LOCKY, QUE VIENE DE ZIP QUE CONTIENE UN .JS QUE DESCIFRA Y DESCARGA UNA DLL QUE LO INSTALA

Publicado el 1 septiembre 2016 ¬ 11:18 amh.mscComentarios desactivados en NUEVA VARIANTE DE RANSOMWARE ZEPTO , SUCESOR DEL LOCKY, QUE VIENE DE ZIP QUE CONTIENE UN .JS QUE DESCIFRA Y DESCARGA UNA DLL QUE LO INSTALA

NUEVA VARIANTE DE RANSOMWARE ZEPTO , SUCESOR DEL LOCKY, QUE VIENE DE ZIP QUE CONTIENE  UN .JS QUE DESCIFRA Y DESCARGA UNA DLL QUE LO INSTALA

 

Un .js accede a un link que descifra un fichero y descarga la DLL resultante,  que infecta con el ransomware ZEPTO

Dichos ZEPTO son versiones “mejoradas” del LOCKY que actualmente ha cedido su lugar a estas nuevas variantes que cifran ficheros y añaden .ZEPTO al final de la extension de los ficheros cifrados.

Dicho .js que decodifica y descarga la DLL de marras ofrece con el virustotal el siguiente informe:
MD5 14e846fee8d43e2c04b2b67f86cd8e63
SHA1 2efa3f540a9591d947a36d841127488d5f238733
File size 73.5 KB ( 75305 bytes )
SHA256:  dda978dad646060cb5fe9ff8b1fc2a9c5ddc7535a9af53a499b8534f535609da
File name:  paycheck_pdf_2fe1bb59.js
Detection ratio:  28 / 56
Analysis date:  2016-09-01 09:02:33 UTC ( 6 minutes ago )
0
1

Antivirus  Result  Update
AVG  JS/Downloader.Agent.47_R  20160901
Ad-Aware  Trojan.JS.Agent.NPE  20160901
AegisLab  Troj.Downloader.Script!c  20160901
AhnLab-V3  JS/Obfus.S116  20160901
Antiy-AVL  Trojan/Generic.ASMalwRG.6E  20160901
Arcabit  Trojan.JS.Agent.NPE  20160901
Avira (no cloud)  JS/Dldr.Kript.830162  20160901
Baidu  JS.Trojan-Downloader.Nemucod.jj  20160901
BitDefender  Trojan.JS.Agent.NPE  20160901
Cyren  JS/Locky.AT  20160901
DrWeb  JS.DownLoader.2087  20160901
ESET-NOD32  JS/TrojanDownloader.Nemucod.ATU  20160901
Emsisoft  Trojan.JS.Agent.NPE (B)  20160901
F-Prot  JS/Locky.AT  20160901
F-Secure  Trojan.JS.Agent.NPE  20160901
Fortinet  JS/Agent.NPE!tr.dldr  20160901
GData  Trojan.JS.Agent.NPE  20160901
Ikarus  Trojan-Ransom.Script.Locky  20160901
Kaspersky  Trojan-Downloader.JS.Agent.mgx  20160901
McAfee  JS/Nemucod.mr  20160901
eScan  Trojan.JS.Agent.NPE  20160901
NANO-Antivirus  Trojan.Script.Heuristic-js.iacgm  20160901
Qihoo-360  virus.js.gen.1  20160901
Rising  Downloader.Generic!8.141-deWABwJdUi (cloud)  20160901
Sophos  JS/Dwnldr-OJP  20160901
Symantec  JS.Downloader  20160901
Tencent  Js.Trojan.Raas.Auto  20160901
TrendMicro-HouseCall  JS_NEMUCOD.SMAA4  20160901

 

El preanalisis de virustotal de la DLL final, que infecta con el ZEPTO ofrece el siguiente informe:
SHA1 7babacda0ae419bc1e1d742dd5b54b13c261ece5
File size 155.5 KB ( 159232 bytes )
SHA256:  26c43cb9a4577db23b40d76068f261d82e440d94bee0fba0f5cb6a54dd5550dd
File name:  Ru5YYEvgZGNd3U3.dll
Detection ratio:  32 / 58
Analysis date:  2016-09-01 08:47:07 UTC ( 4 minutes ago )
0
1

Antivirus  Result  Update
AVG  Crypt5.CMHC  20160901
Ad-Aware  Trojan.GenericKD.3503569  20160901
AegisLab  Ransom.Locky.Dldvfk!c  20160901
AhnLab-V3  Trojan/Win32.Locky.N2093283173  20160901
Antiy-AVL  Trojan/Win32.TSGeneric  20160901
Arcabit  Trojan.Generic.D3575D1  20160901
Avast  Win32:Malware-gen  20160901
Avira (no cloud)  TR/Crypt.Xpack.rehsv  20160901
Baidu  Win32.Trojan.WisdomEyes.151026.9950.9997  20160901
BitDefender  Trojan.GenericKD.3503569  20160901
Bkav  HW32.Packed.FF44  20160831
CrowdStrike Falcon (ML)  malicious_confidence_100% (D)  20160725
DrWeb  Trojan.Encoder.5824  20160901
ESET-NOD32  a variant of Win32/Kryptik.FFKQ  20160901
Emsisoft  Trojan.Win32.Agent (A)  20160901
F-Secure  Trojan.GenericKD.3503569  20160901
Fortinet  W32/Kryptik.FFKQ!tr  20160901
GData  Trojan.GenericKD.3503569  20160901
Invincea  ransom.win32.nymaim.f  20160830
Kaspersky  Trojan-Ransom.Win32.Locky.bop  20160901
Malwarebytes  Ransom.Locky  20160901
McAfee  Ransomware-FRS!9F6A2A060B07  20160901
McAfee-GW-Edition  BehavesLike.Win32.Ramnit.cc  20160901
eScan  Trojan.GenericKD.3503569  20160901
Panda  Generic Suspicious  20160831
Rising  Malware.Generic!aZYAH4v3rJS@1 (thunder)  20160901
Sophos  Mal/RansomDl-B  20160901
Symantec  Ransom.Locky  20160901
Tencent  Win32.Trojan.Raas.Auto  20160901
TrendMicro  Ransom_LOCKY.DLDVFK  20160901
TrendMicro-HouseCall  Ransom_LOCKY.DLDVFK  20160901
ViRobot  Trojan.Win32.Locky.159232.Z[h]  20160901

a partir del ELISTARA 35.11 pasamos a controlar esta nueva variante de ransomware ZEPTO, sucesor del LOCKY, de los que están proliferando distintas variantes.

saludos

ms, 1.9.2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies