NUEVA VARIANTE DE RANSOMWARE ZEPTO (SUCESOR DEL LOCKY) QUE LLEGA EN .WSF

Publicado el 8 septiembre 2016 ¬ 10:36 amh.mscComentarios desactivados en NUEVA VARIANTE DE RANSOMWARE ZEPTO (SUCESOR DEL LOCKY) QUE LLEGA EN .WSF

A pesar de que algunos ZEPTO tienen un problema en el script de lanzamiento que hace que (afortunadamente) no logre su instalación, otros cuyo ZIP contiene un downloader .wsf , sí que logran su objetivo, descargando una DLL que cifra los ficheros añadiendoles la extensión ZEPTO.

El preanalisis del .wsf que contiene el ZIP anexado al mail, ofrece este informe:

MD5 8854b14b58a9bd15777e8211171cd23b
SHA1 bec0707a9c64aeeb5b735b97701d9f28a61b33d6
File size 74.3 KB ( 76066 bytes )
SHA256:  95a263a5c4fc0c05c1ffe57f90ebc27178c37ca30a4c92289b94951d2f3aefff
File name:  mortgage_documents.462dff13.wsf
Detection ratio:  32 / 56
Analysis date:  2016-09-08 08:12:10 UTC ( 6 minutes ago )
0
1

Analysis
Additional information
Comments
Votes

Antivirus  Result  Update
ALYac  Trojan.JS.Agent.NOU  20160908
AVG  JS/Downloader.Agent.47_P  20160908
Ad-Aware  Trojan.JS.Agent.NOU  20160908
AegisLab  Troj.Downloader.Script!c  20160908
AhnLab-V3  JS/Obfus.S115  20160907
Antiy-AVL  Trojan/Generic.ASMalwRG.6F  20160908
Arcabit  HEUR.JS.Trojan.b  20160908
Avast  JS:Downloader-DLR [Trj]  20160908
Avira (no cloud)  JS/Dldr.Locky.XLX  20160908
Baidu  JS.Trojan-Downloader.Nemucod.jf  20160908
BitDefender  Trojan.JS.Agent.NOU  20160908
Bkav  JS.eIframeDownloader.2ED0  20160907
CAT-QuickHeal  JS.Locky.DN  20160907
Cyren  JS/Locky.AX  20160908
DrWeb  JS.DownLoader.2067  20160908
Emsisoft  Trojan.JS.Agent.NOU (B)  20160908
F-Prot  JS/Locky.AX  20160908
F-Secure  Trojan.JS.Agent.NOU  20160908
Fortinet  JS/Nemucod.ATK!tr.dldr  20160908
GData  Trojan.JS.Agent.NOU  20160908
Ikarus  Trojan-Ransom.Script.Locky  20160908
Kaspersky  Trojan-Downloader.JS.Agent.mgu  20160908
McAfee  JS/Nemucod.mz  20160908
McAfee-GW-Edition  JS/Nemucod.mz  20160908
eScan  Trojan.JS.Agent.NOU  20160908
Microsoft  TrojanDownloader:JS/Swabfex.C  20160908
NANO-Antivirus  Trojan.Script.Heuristic-js.iacgm  20160908
Qihoo-360  virus.js.gen.80  20160908
Rising  Trojan.Script.WSF.Downloader.c (classic)  20160908
Symantec  JS.Downloader  20160908
Tencent  Js.Trojan-downloader.Agent.Eanc  20160908
TrendMicro-HouseCall  JS_NEMUCOD.SMAA4  20160908
Y la DLL que descarga dicho .wsf ofrece este informe:

MD5 d9b08364403ab9c5fb8368e879310724
SHA1 c663fc049b96c43bb8b4e223b91b03cbd96b2e86
File size 155.5 KB ( 159232 bytes )
SHA256:  504aea95e6a3514d7e1f2ff70101efcf725caa02d588e5c3f3d5f7f4cdef95c3
File name:  wXReihmUNN0Ot4y.dll
Detection ratio:  44 / 55
Analysis date:  2016-09-07 16:26:10 UTC ( 16 hours ago )
0
1

Antivirus  Result  Update
ALYac  Trojan.Generic.17946973  20160907
AVG  Crypt5.CMCK  20160907
AVware  Trojan.Win32.Generic!BT  20160907
Ad-Aware  Trojan.Generic.17946973  20160907
AegisLab  Heur.Advml.Gen!c  20160907
AhnLab-V3  Trojan/Win32.Locky.N2092377084  20160907
Antiy-AVL  Trojan[Ransom]/Win32.Locky  20160907
Arcabit  Trojan.Generic.D111D95D  20160907
Avast  Win32:Malware-gen  20160907
Avira (no cloud)  TR/FileCoder.Y.32  20160907
Baidu  Win32.Trojan.WisdomEyes.151026.9950.9997  20160907
BitDefender  Trojan.Generic.17946973  20160907
Bkav  HW32.Packed.E0F3  20160907
CAT-QuickHeal  Ransom.Zepto  20160907
Comodo  TrojWare.Win32.Locky.xfesl  20160907
Cyren  W32/Trojan.CUWS-0052  20160907
DrWeb  Trojan.Encoder.5824  20160907
ESET-NOD32  a variant of Win32/Kryptik.FFIS  20160907
Emsisoft  Trojan.Generic.17946973 (B)  20160907
F-Secure  Trojan.Generic.17946973  20160907
Fortinet  W32/Locky.BOH!tr  20160907
GData  Trojan.Generic.17946973  20160907
Ikarus  Trojan-Ransom.Locky  20160907
Invincea  ransom.win32.nymaim.f  20160830
Jiangmin  Trojan.Locky.bhr  20160907
K7AntiVirus  Trojan ( 004f72d91 )  20160907
K7GW  Trojan ( 004f72d91 )  20160907
Kaspersky  Trojan-Ransom.Win32.Locky.boh  20160907
Kingsoft  Win32.Troj.Cryptxx.ac.(kcloud)  20160907
Malwarebytes  Ransom.Locky  20160907
McAfee  Ransomware-FRS!D9B08364403A  20160907
McAfee-GW-Edition  BehavesLike.Win32.Ramnit.cc  20160907
eScan  Trojan.Generic.17946973  20160907
Microsoft  Ransom:Win32/Locky!rfn  20160907
Panda  Trj/Genetic.gen  20160907
Sophos  Troj/Locky-KC  20160907
Symantec  Ransom.Locky  20160907
Tencent  Win32.Trojan.Raasj.Auto  20160907
TrendMicro  Ransom_LOCKY.F116HU  20160907
TrendMicro-HouseCall  Ransom_LOCKY.F116HU  20160907
VIPRE  Trojan.Win32.Generic!BT  20160907
ViRobot  Trojan.Win32.Locky.159232.L[h]  20160907
Yandex  Trojan.Locky!  20160907
Zillya  Trojan.Locky.Win32.731  20160907

Dicha versión del ELISTARA 35.17 que los detecta y elimina, estará disponible en nuestra web a partir del 9-9-2016

saludos

ms, 8-9-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies