VARIANTE DE CRYPTOLOCKER.ENC QUE LLEGA EN FALSO MAIL DE CORREOS

Como estos últimos días, están distribuyendose falsos mails de Correos que anexan fichero ZIP conteniendo un JS de nombre

Carta_Certificada.js

El cual descarga y ejecuta un ejecutable que instala la última variante de cryptolocker, que codifica los ficheros de las unidades compartidas, añadiendo .enc a los ficheros cifrados

En esta ocasión nos ha generado fichero de nombre variable que ha sido:

ubirspax.exe

El preanalisis de virustotal de dicho fichero ofrece el siguiente informe:

MD5 436254c83ee2bd87fc860febcd84661c
SHA1 b69aff5918685eacc7425f7cc92428fc4ea13446
File size 389.6 KB ( 398973 bytes )
SHA256: d1469e8d39357695606f4d5100b270fe115093db0dc34d2bc9c078235ee9b4b4
File name: ubirspax.exe
Detection ratio: 9 / 58
Analysis date: 2016-09-05 09:39:35 UTC ( 5 minutes ago )
0
1

Antivirus Result Update
Avira (no cloud) TR/AD.TorrentLocker.sfsrr 20160905
CrowdStrike Falcon (ML) malicious_confidence_93% (D) 20160725
Invincea virus.win32.sality.at 20160830
Kaspersky HEUR:Packed.NSIS.MyxaH.gen 20160905
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.fc 20160904
Qihoo-360 QVM42.0.Malware.Gen 20160905
Rising Malware.Heuristic!ET (rdm+) 20160905
SUPERAntiSpyware Trojan.Agent/Gen-Siggen 20160905
Symantec Ransom.Cerber 20160905
Qihoo-360 QVM42.0.Malware.Gen 20160905
Rising Malware.Heuristic!ET (rdm+) 20160905
SUPERAntiSpyware Trojan.Agent/Gen-Siggen 20160905
Symantec Ransom.Cerber 20160905

Dicha versión del ELISTARA 35.14 que los detecta y elimina, estará disponible en nuestra web a partir del 6-9-2016

saludos

ms, 5-9-2016