NUEVA TANDA DE RANSOWMARES LOCKY DE NUEVA GENERACION QUE AÑADEN AESIR A LOS FICHEROS CIFRADOS

Tal como informábamos en una noticia del blog de esta mañana:

Y CUANDO CONOCIAMOS AL LOCKY COMO THOR, AHORA VIENE COMO AESIR, EL PRIMERO EN UN FALSO MAIL DE AMAZON

una nueva “moda” de los Ransomware Locky cambia el añadido Locky en la extensión de los ficheros cifrados, por el nombre de AESIR, pero que en el fondo solo tienen pequeñas variantes rspecto a los Locky (ZEPTO, ODIN, SHIT, THOR y ahora AESIR), todos ellos autoeliminan el EXE tras el cifrado, con lo que solo queda una DLL en carpeta temporal, que se elimina con el ELISTARA al eliminar los temporales, de forma que solo quedan los ficheros cifrados de las carpetas compartidas con el ordenador infectado, en el que se ha ejecutado el virus, pero este no pasa a los demás ordenadores, “solo” codifica los ficheros de datos de las unidades compartidas.

A lo largo de hoy hemos ido recibiendo mas y mas ficheros de esta nueva generación, de los que indicamos el MD5 de algunos de ellos:

“46589EAB9E6384BCA38E41A5DC6CE0D6” -> 12wfsl0gk.dll  137591
“901609C09D9CA0EF710DAC6C9448CF0E” -> 44zd4j.dll  137591
“778E294A586D244416E9CE70C453F6E3” -> cey54bwgvf.dll  137591
“07D52AEF77854D4B6244C99FB6313DC4” -> cpjeie0.dll  137591
“E6CD25E300A60B579074132688D115BB” -> crgnsx.dll  137591
“54C44AC6FFF125C1A5B7E05150CE2228” -> cvyeefv0y.dll  134411
“004E691A00EFB24588D7333D17AF9971” -> fl7h5lk.dll  137591
“5BCD29794F4BEE30604C6DA8CF5DD2AB” -> fm32yz2.dll  137591
“D60B3986FD955560C7E0AB5579B196DA” -> m1xuzuhz.dll  137591
“C6264699714B83F450192255FECEAC53” -> mhngaxy.dll  137591
“CE8B419C9B649001948CAA42DA176C14” -> mkchoe0lx.dll  137591
“8FB52DC1DEA4FD2C0DFE36E5FF46A6BA” -> mlrnp.dll  137591
“ADC5CF068D288AD300019A3C12197814” -> mmjvsjch8i.dll  137591
“DFD4B1A3DDF2D9212B98B3A4869F336B” -> oljtcw5p.dll  134411
“B7F5A4E328A40119FCC78F1D0890EAE0” -> qvcmh.dll  137591
“F6834A86EACAF778732680FDB7CD443D” -> r10myprz.dll  137591
“4DF0480DACB31CAA52B4753EDC50AD3A” -> skjsar.dll  137591
“A2903A7C3121EE2D72721351DD449F17” -> suigyo.dll  137591
“E0B981C9B84603C979682CAD0EF57722” -> txroulckka.dll  137591
“474D234EE35E1880F4E69861C72BEE99” -> uzu2vgi.dll  134411
“7746DD65E8787D0740F00596B8C5E349” -> v1cle.dll  137591
“56C20319FA91A9957FD45E7EC518C798” -> viv34io.dll  137591
“DADD5B33DFA845DC192595BFD0A05543” -> vnaezxanvi.dll  134411
“8E9C072ED8448834A7824CBAB874705C” -> xepnvg.dll  137591
“D008F0C8874203CA6B8393B14E8CA94E” -> xyjwc.dll  137591
“520F18A846F90DA4381819400C3A99B1” -> ykrsw.dll  134411

El preanalisis de VirusTotal del último de ellos nos demuestra que todavía no son conocidos por la mayoría de los actuales antivirus, (solo 8 de 57) por lo que en este caso enviamos tanto a McAfee como a Kaspersky muestras para que añadan su control a las proximas versiones de sus antivirus

Dicho preanalisis de VirusTotal ofrece el siguiente informe:
MD5 520f18a846f90da4381819400c3a99b1
SHA1 364c605d60d7b3d0db00c4a29a4e1a0f84f96a0e
File size 131.3 KB ( 134411 bytes )
SHA256:  c9986f301ca8c15f603e79a31f90869bcf8a72a7ed808ba1e6c448b4dd25c1cc
File name:  ykrsw.dll
Detection ratio:  8 / 57
Analysis date:  2016-11-21 15:57:29 UTC ( 0 minutes ago )
0
1

Antivirus  Result  Update
Bkav  W32.eHeur.Malware09  20161121
CrowdStrike Falcon (ML)  malicious_confidence_89% (D)  20161024
ESET-NOD32  a variant of Win32/Kryptik.FKDN  20161121
Invincea  trojandownloader.win32.silcon.a  20161018
Malwarebytes  Ransom.Locky  20161121
Qihoo-360  HEUR/QVM39.1.0000.Malware.Gen  20161121
Rising  Malware.Generic!glWY3GR55jR@2 (thunder)  20161121
Tencent  Win32.Trojan.Raasj.Auto  20161121

Dicha versión del ELISTARA 35,66 que los detecta y elimina, estará disponible en nuestra web a partir del 22-11-2016
saludos

ms, 21-11-2016