NUEVA TANDA DE RANSOWMARES LOCKY DE NUEVA GENERACION QUE AÑADEN AESIR A LOS FICHEROS CIFRADOS
Tal como informábamos en una noticia del blog de esta mañana:
una nueva “moda” de los Ransomware Locky cambia el añadido Locky en la extensión de los ficheros cifrados, por el nombre de AESIR, pero que en el fondo solo tienen pequeñas variantes rspecto a los Locky (ZEPTO, ODIN, SHIT, THOR y ahora AESIR), todos ellos autoeliminan el EXE tras el cifrado, con lo que solo queda una DLL en carpeta temporal, que se elimina con el ELISTARA al eliminar los temporales, de forma que solo quedan los ficheros cifrados de las carpetas compartidas con el ordenador infectado, en el que se ha ejecutado el virus, pero este no pasa a los demás ordenadores, “solo” codifica los ficheros de datos de las unidades compartidas.
A lo largo de hoy hemos ido recibiendo mas y mas ficheros de esta nueva generación, de los que indicamos el MD5 de algunos de ellos:
“46589EAB9E6384BCA38E41A5DC6CE0D6” -> 12wfsl0gk.dll 137591
“901609C09D9CA0EF710DAC6C9448CF0E” -> 44zd4j.dll 137591
“778E294A586D244416E9CE70C453F6E3” -> cey54bwgvf.dll 137591
“07D52AEF77854D4B6244C99FB6313DC4” -> cpjeie0.dll 137591
“E6CD25E300A60B579074132688D115BB” -> crgnsx.dll 137591
“54C44AC6FFF125C1A5B7E05150CE2228” -> cvyeefv0y.dll 134411
“004E691A00EFB24588D7333D17AF9971” -> fl7h5lk.dll 137591
“5BCD29794F4BEE30604C6DA8CF5DD2AB” -> fm32yz2.dll 137591
“D60B3986FD955560C7E0AB5579B196DA” -> m1xuzuhz.dll 137591
“C6264699714B83F450192255FECEAC53” -> mhngaxy.dll 137591
“CE8B419C9B649001948CAA42DA176C14” -> mkchoe0lx.dll 137591
“8FB52DC1DEA4FD2C0DFE36E5FF46A6BA” -> mlrnp.dll 137591
“ADC5CF068D288AD300019A3C12197814” -> mmjvsjch8i.dll 137591
“DFD4B1A3DDF2D9212B98B3A4869F336B” -> oljtcw5p.dll 134411
“B7F5A4E328A40119FCC78F1D0890EAE0” -> qvcmh.dll 137591
“F6834A86EACAF778732680FDB7CD443D” -> r10myprz.dll 137591
“4DF0480DACB31CAA52B4753EDC50AD3A” -> skjsar.dll 137591
“A2903A7C3121EE2D72721351DD449F17” -> suigyo.dll 137591
“E0B981C9B84603C979682CAD0EF57722” -> txroulckka.dll 137591
“474D234EE35E1880F4E69861C72BEE99” -> uzu2vgi.dll 134411
“7746DD65E8787D0740F00596B8C5E349” -> v1cle.dll 137591
“56C20319FA91A9957FD45E7EC518C798” -> viv34io.dll 137591
“DADD5B33DFA845DC192595BFD0A05543” -> vnaezxanvi.dll 134411
“8E9C072ED8448834A7824CBAB874705C” -> xepnvg.dll 137591
“D008F0C8874203CA6B8393B14E8CA94E” -> xyjwc.dll 137591
“520F18A846F90DA4381819400C3A99B1” -> ykrsw.dll 134411
El preanalisis de VirusTotal del último de ellos nos demuestra que todavía no son conocidos por la mayoría de los actuales antivirus, (solo 8 de 57) por lo que en este caso enviamos tanto a McAfee como a Kaspersky muestras para que añadan su control a las proximas versiones de sus antivirus
Dicho preanalisis de VirusTotal ofrece el siguiente informe:
MD5 520f18a846f90da4381819400c3a99b1
SHA1 364c605d60d7b3d0db00c4a29a4e1a0f84f96a0e
File size 131.3 KB ( 134411 bytes )
SHA256: c9986f301ca8c15f603e79a31f90869bcf8a72a7ed808ba1e6c448b4dd25c1cc
File name: ykrsw.dll
Detection ratio: 8 / 57
Analysis date: 2016-11-21 15:57:29 UTC ( 0 minutes ago )
0
1
Antivirus Result Update
Bkav W32.eHeur.Malware09 20161121
CrowdStrike Falcon (ML) malicious_confidence_89% (D) 20161024
ESET-NOD32 a variant of Win32/Kryptik.FKDN 20161121
Invincea trojandownloader.win32.silcon.a 20161018
Malwarebytes Ransom.Locky 20161121
Qihoo-360 HEUR/QVM39.1.0000.Malware.Gen 20161121
Rising Malware.Generic!glWY3GR55jR@2 (thunder) 20161121
Tencent Win32.Trojan.Raasj.Auto 20161121
Dicha versión del ELISTARA 35,66 que los detecta y elimina, estará disponible en nuestra web a partir del 22-11-2016
saludos
ms, 21-11-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.