NUEVA VARIANTE DE UN DOWNLOADER DEL RANSOMWARE ZEPTO QUE LLEGA A TRAVES DE UN MAIL EN INGLES
A través de un fichero .js contenido en un ZIP anexado al mail que indicamos a continuación, se recibe un downloader que nos ha descargado un ransomware ZEPTO , indicado al final, que tambien pasamos a controlar, junto con este downloader, a partir del ELISTARA 35.23 de hoy
MAIL MALICIOSO
_______________
Asunto: Booking confirmation
De: “Margarita Stout” <Stout.5496@z-squared-va.com>
Fecha: 16/09/2016 6:43
Para: <destinatario>
Hi there <destinatario>, it’s Margarita. I booked the ticket for you yesterday.
See the attachment to confirm the booking.
King regards,
Margarita Stout
ANEXADO FICHERO ZIP
__________________
FIN MAIL MALICIOSO
El preanalisis de virustotal del downloader .js recibido en el ZIP anexado al mail, es el siguiente:
MD5 73947f377db0f38ae93953a6676ef2a9
SHA1 03ade073b3dba41cdceeddce6769cf16d0339ad0
File size 61.2 KB ( 62679 bytes )
SHA256: 5579d7b6c1397f2eda1d99bc8ced784ded5f1a4e384e883e62f0dc02ce5846f7
File name: Booking confirmation ~896FE0~.js
Detection ratio: 11 / 55
Analysis date: 2016-09-16 07:50:41 UTC ( 49 minutes ago )
0
1
Antivirus Result Update
Avira (no cloud) JS/Dldr.Krypt.915164 20160916
Cyren JS/Locky.AZ4!Eldorado 20160916
ESET-NOD32 JS/TrojanDownloader.Nemucod.AYE 20160916
F-Prot JS/Locky.AZ4!Eldorado 20160916
Fortinet JS/Agent.3DCC!tr 20160916
Ikarus Trojan-Ransom.Script.Locky 20160916
Kaspersky Trojan-Downloader.JS.Agent.mli 20160916
Sophos JS/DwnLdr-OPS 20160916
Symantec JS.Downloader 20160916
Tencent Js.Trojan.Raas.Auto 20160916
TrendMicro-HouseCall JS_GEN.F299E00IF16 20160916
y como hemos indicado, la ejecución de dicho downloader nos ha descargado e instalado una DLL que es un ransomware ZEPTO (sucesor del Locky), que tambien pasamos a controlar, y cuyo preanalisis de virustotal ofrece el siguiente informe:
MD5 f33a615197981f311b87968074743182
SHA1 10ef3e85db0ff3c22771f07e9dc5b9601be559a7
File size 186.5 KB ( 190976 bytes )
SHA256: 93586226e27ce30041b88d4ffa88947ded45bfda8a78dae62cede288af704a92
File name: 811KO0sQh.dll
Detection ratio: 8 / 56
Analysis date: 2016-09-15 22:36:18 UTC ( 10 hours, 8 minutes ago )
0
1
Antivirus Result Update
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20160725
DrWeb Trojan.Encoder.6018 20160915
Invincea trojan.win32.dorv.c!rfn 20160912
Kaspersky UDS:DangerousObject.Multi.Generic 20160915
McAfee-GW-Edition BehavesLike.Win32.Ramnit.ch 20160915
Qihoo-360 HEUR/QVM39.1.0000.Malware.Gen 20160915
Symantec Heur.AdvML.B 20160915
Tencent Win32.Trojan.Raas.Auto 20160915
Dicha versión del ELISTARA 35.23 que los detecta y elimina,e stará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 16-9-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.