NUEVA VARIANTE DE CRYPTOLOCKER QUE LLEGA ANEXADO A UN MAIL CON PHISHING, PERO CAMBIA EL AÑADIDO EN LOS CIFRADOS POR .xxxxxx

Si bien estabamos acostumbrados en reconocer las infecciones del Cryptolocker por añadir a los ficheros cifrados la extension .encrypted, O .enc, ahora nos llega una nueva saga que solo añade .xxxxxx, lo cual a priori hace mas dificil adivinar qué ransomware es el causante, si bien cabe indicar que en la pantalla informadora del “secuestro” viene a ser parecida a la que ya conociamos, y que pasamos a detectar al .js que contiene el downloader del mismo, (es del tipo NEMUCOD) como “CRYPTOLOCKER .xxxxxx DLDR”, y al .EXE que descarga, lo mismo sin el DLDR, claro.

Es importante señalar que el SITE ADVISOR de McAfee ya intercepta el acceso a la web de de descarga, avisando que es peligrosa, por lo que el usuario ya sabe que es arriesgado acceder a ella…

http://gkr.ricerca-spedizioni38.com…
El preanalisis de virustotal del .js, ofrece el siguiente informe:
MD5 6ed9176e8905dd1c9398692318793e81
SHA1 a6c3dee952c602330163e74fe9b65abbb0d1f885
File size 21.7 KB ( 22247 bytes )
SHA256:  3feede9bd78727640a6f0c1b1632745e34ed2cdc092c7e801e79f0400ab389c5
File name:  pacchetto_39728(01).js
Detection ratio:  29 / 54
Analysis date:  2016-12-07 08:46:37 UTC ( 14 minutes ago )
0
3

Antivirus  Result  Update
AVG  Downloader.Generic_c.ANKH  20161207
Ad-Aware  JS:Trojan.JS.Downloader.HFT  20161207
AegisLab  Troj.Script.Agent!c  20161207
Antiy-AVL  Trojan/Generic.ASVCS3S.429  20161207
Arcabit  JS:Trojan.JS.Downloader.HFT  20161207
Avira (no cloud)  JS/Dldr.Locky.72323  20161206
Baidu  JS.Trojan-Downloader.Nemucod.pr  20161207
BitDefender  JS:Trojan.JS.Downloader.HFT  20161207
CAT-QuickHeal  JS.Nemucod.AQR  20161207
Cyren  JS/Locky.BH!Eldorado  20161207
ESET-NOD32  JS/TrojanDownloader.Nemucod.BSH  20161207
Emsisoft  Trojan.Nemucod (A)  20161207
F-Prot  JS/Locky.BH!Eldorado  20161207
F-Secure  JS:Trojan.JS.Downloader.HFT  20161207
Fortinet  JS/Nemucod.BSH!tr.dldr  20161207
GData  JS:Trojan.JS.Downloader.HFT  20161207
Ikarus  Trojan-Downloader.JS.Nemucod  20161206
Kaspersky  HEUR:Trojan.Script.Agent.gen  20161207
McAfee  JS/Nemucod.kz  20161205
McAfee-GW-Edition  JS/Nemucod.kz  20161207
eScan  JS:Trojan.JS.Downloader.HFT  20161207
Microsoft  TrojanDownloader:JS/Nemucod!rfn  20161207
Qihoo-360  virus.js.gen.1  20161207
Rising  Downloader.Nemucod!8.34 (topis)  20161207
Sophos  JS/DwnLdr-QHY  20161207
Symantec  JS.Downloader  20161207
TrendMicro  JS_LOCKY.SMDA6  20161207
TrendMicro-HouseCall  JS_DLOADR.YYSQH  20161207
ViRobot  JS.S.Downloader.22247[h]  20161207

y el .EXE descargado, aun no lo controlan ni MCAfee ni Kaspersky, por lo que les enviamos muestra para que añadan su control en las proximas versiones de sus AV.

El preanalisis de virustotal de dicho .EXE, ofrece el siguiente informe:

MD5 da1b07c8f578b2c70d775c4d4cb47253
SHA1 1a5d8ce860d067499ed85f86190bb267cfa41948
File size 425.3 KB ( 435460 bytes )
SHA256:  a7bffd6454b5e2f815c1e52273ccf01b0ca749999db2f241c69eee7c508eb8b2
File name:  etymawep.exe
Detection ratio:  9 / 57
Analysis date:  2016-12-07 09:09:27 UTC ( 5 minutes ago )
0
1

Antivirus  Result  Update
Avast  Win32:Malware-gen  20161207
Avira (no cloud)  TR/AD.Teerac.zeagj  20161206
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9767  20161207
CrowdStrike Falcon (ML)  malicious_confidence_89% (D)  20161024
ESET-NOD32  Win32/Filecoder.TorrentLocker.A  20161207
Invincea  worm.win32.secrar.a  20161202
McAfee-GW-Edition  BehavesLike.Win32.Downloader.gc  20161207
Qihoo-360  HEUR/QVM42.0.0000.Malware.Gen  20161207
Symantec  Heur.AdvML.B  20161207

Dicha versión del ELISTARA 35.76 que lo detecta y elimina, ya está disponible en nuestra web

saludos

ms, 7-12-2016