NUEVA VARIANTE DE CRYPTOLOCKER QUE LLEGA ANEXADO A UN MAIL CON PHISHING, PERO CAMBIA EL AÑADIDO EN LOS CIFRADOS POR .xxxxxx
Si bien estabamos acostumbrados en reconocer las infecciones del Cryptolocker por añadir a los ficheros cifrados la extension .encrypted, O .enc, ahora nos llega una nueva saga que solo añade .xxxxxx, lo cual a priori hace mas dificil adivinar qué ransomware es el causante, si bien cabe indicar que en la pantalla informadora del “secuestro” viene a ser parecida a la que ya conociamos, y que pasamos a detectar al .js que contiene el downloader del mismo, (es del tipo NEMUCOD) como “CRYPTOLOCKER .xxxxxx DLDR”, y al .EXE que descarga, lo mismo sin el DLDR, claro.
Es importante señalar que el SITE ADVISOR de McAfee ya intercepta el acceso a la web de de descarga, avisando que es peligrosa, por lo que el usuario ya sabe que es arriesgado acceder a ella…
http://gkr.ricerca-spedizioni38.com…
El preanalisis de virustotal del .js, ofrece el siguiente informe:
MD5 6ed9176e8905dd1c9398692318793e81
SHA1 a6c3dee952c602330163e74fe9b65abbb0d1f885
File size 21.7 KB ( 22247 bytes )
SHA256: 3feede9bd78727640a6f0c1b1632745e34ed2cdc092c7e801e79f0400ab389c5
File name: pacchetto_39728(01).js
Detection ratio: 29 / 54
Analysis date: 2016-12-07 08:46:37 UTC ( 14 minutes ago )
0
3
Antivirus Result Update
AVG Downloader.Generic_c.ANKH 20161207
Ad-Aware JS:Trojan.JS.Downloader.HFT 20161207
AegisLab Troj.Script.Agent!c 20161207
Antiy-AVL Trojan/Generic.ASVCS3S.429 20161207
Arcabit JS:Trojan.JS.Downloader.HFT 20161207
Avira (no cloud) JS/Dldr.Locky.72323 20161206
Baidu JS.Trojan-Downloader.Nemucod.pr 20161207
BitDefender JS:Trojan.JS.Downloader.HFT 20161207
CAT-QuickHeal JS.Nemucod.AQR 20161207
Cyren JS/Locky.BH!Eldorado 20161207
ESET-NOD32 JS/TrojanDownloader.Nemucod.BSH 20161207
Emsisoft Trojan.Nemucod (A) 20161207
F-Prot JS/Locky.BH!Eldorado 20161207
F-Secure JS:Trojan.JS.Downloader.HFT 20161207
Fortinet JS/Nemucod.BSH!tr.dldr 20161207
GData JS:Trojan.JS.Downloader.HFT 20161207
Ikarus Trojan-Downloader.JS.Nemucod 20161206
Kaspersky HEUR:Trojan.Script.Agent.gen 20161207
McAfee JS/Nemucod.kz 20161205
McAfee-GW-Edition JS/Nemucod.kz 20161207
eScan JS:Trojan.JS.Downloader.HFT 20161207
Microsoft TrojanDownloader:JS/Nemucod!rfn 20161207
Qihoo-360 virus.js.gen.1 20161207
Rising Downloader.Nemucod!8.34 (topis) 20161207
Sophos JS/DwnLdr-QHY 20161207
Symantec JS.Downloader 20161207
TrendMicro JS_LOCKY.SMDA6 20161207
TrendMicro-HouseCall JS_DLOADR.YYSQH 20161207
ViRobot JS.S.Downloader.22247[h] 20161207
y el .EXE descargado, aun no lo controlan ni MCAfee ni Kaspersky, por lo que les enviamos muestra para que añadan su control en las proximas versiones de sus AV.
El preanalisis de virustotal de dicho .EXE, ofrece el siguiente informe:
MD5 da1b07c8f578b2c70d775c4d4cb47253
SHA1 1a5d8ce860d067499ed85f86190bb267cfa41948
File size 425.3 KB ( 435460 bytes )
SHA256: a7bffd6454b5e2f815c1e52273ccf01b0ca749999db2f241c69eee7c508eb8b2
File name: etymawep.exe
Detection ratio: 9 / 57
Analysis date: 2016-12-07 09:09:27 UTC ( 5 minutes ago )
0
1
Antivirus Result Update
Avast Win32:Malware-gen 20161207
Avira (no cloud) TR/AD.Teerac.zeagj 20161206
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9767 20161207
CrowdStrike Falcon (ML) malicious_confidence_89% (D) 20161024
ESET-NOD32 Win32/Filecoder.TorrentLocker.A 20161207
Invincea worm.win32.secrar.a 20161202
McAfee-GW-Edition BehavesLike.Win32.Downloader.gc 20161207
Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20161207
Symantec Heur.AdvML.B 20161207
Dicha versión del ELISTARA 35.76 que lo detecta y elimina, ya está disponible en nuestra web
saludos
ms, 7-12-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.