A última hora nos llega un mail anexando fichero malicioso que cifra los ficheros añadiendo .725 a la extensión de los ficheros cifrados A partir del ELISTARA 37.36 pasamos a controlar esta nueva variante. El mail es del siguiente tipo:   Asunto: Voice Message Attached from 01258838212 – name unavailable De: <vm@dominio del destinatario> Fecha: […]

En un mail del siguiente tipo   Asunto: De: <info@ngkerk.org.za> Fecha: 27/07/2017 21:21 Para: <detinatario>   ANEXADO: 673884326407.ZIP —> contiene 7J.js que instala ransomware TROLDESH (que añade .aleta a los que cifra) llega anexado un fichero cuyo preanalisis de virustotal

  Esta vez han cambiado la dirección de correo donde contactar con el hacker, pero por lo demás el fichero anexado es un RANSOMWARE TROLDESH que cifra los ficheros anexando .aleta además de una dirección de correo del hacker, para el rescate, que ha cambiado respecto versiones anteriores El mail, sin texto, es el siguiente: […]

Se ofrecen dos de los varios mails que se están recibiendo con similar estructura y e ofrecen dos de los varios mails que se están recibiendo con similar estructura y Asunto: De: no-reply@stevenewman.co.uk Fecha: 26/07/2017 23:06 Para: virus@satinfo.es Your Payment is attached. ANEXADO: doc00098112330193610635.zip <— 001_1935.zip <—  001_1935.DOCM <— fichero con  macros maliciosas que instalan downloader […]

Del mismo tipo que el anterior, pero aparentando venir de un usuario de la red del destinatario (para mayor veracidad), se recibe este mail:   Asunto: Emailing: 8545074.JPG De: “Penny” <Penny@dominio destinatario> Fecha: 26/07/2017 11:28Para: <DESTINATARIO>   The message is ready to be sent with the following file or link attachments:8545074.JPG   <– ES UN […]

Se está recibiendo un mail con texto similar a: Asunto: Emailing: 6586947.JPG De: “Lorie” <Lorie@dominio del destinatario> Fecha: 26/07/2017 11:30 Para: “destinatario” The message is ready to be sent with the following file or link attachments: 6586947.JPG  <- es realmente un .JPG.ZIP que contiene un .wsf Note: To protect against computer viruses, e-mail programs may […]

Se está recibiendo este mail anexando un html malicioso de captura de datos, además de que el mail en sí ya lo es !:   Asunto: Comprobante de transferencia De: administraccion@fernandeztext.onmicrosoft.com Fecha: 25/07/2017 15:47 Para: DESTINATARIO Hola, Nos gustaría informarle de una actualización del producto que tiene Previamente comprado. Estamos enviando este mensaje a la […]

Se recibe un mail con el siguiente texto:   Asunto: FATTURA DI VENDITA <2017-07-0006190> De: mpalmas@tiscali.it Fecha: 25/07/2017 11:41 Para: “destinatario”   alleghiamo documento originale, informandola che non sarà effettuato invio postale.   Cordiali saluti   ANEXADO: 1016422573_20174730 03 4965.XLS   ________  

Este malware llega anexado a un mail del siguiente tipo:   Asunto: Voice Message Attached from 01257788663 – name unavailable De: <vm1023@techstar.globalnet.co.uk>Fecha: 24/07/2017 12:40Para: destinatario Time: 21-Jul-2017 10:15:23Click attachment to listen to Voice Message ANEXADO:  01257788663_6979400_802182.zip    (contiene 01258861149_20170411_208826.WSF) Este .WSF es una extension de un fichero de java tipico de los ficheros de dicho […]

Se está recibiendo otro mail masivo con este contenido:   Asunto: RE:PO#240717 NEW ORDER De: “Huynh Cong”<huynh.cong@hotmail.com> Fecha: 24/07/2017 3:49 Para: hunynh.cong@outlook.com Hello Please we want some of your new displayed items on your website Kindly find attached our purchase order and give us your current available product price list,Best FOB Prices with clear photos […]

Se está recibiendo este mail : Asunto: Voice Message Attached from 01258882789 – name unavailableDe: <vm@unlimitedhorizon.co.uk>Fecha: 21/07/2017 14:59Para: “sat” <774851342@mail.bs.intra> Time: 21-Jul-2017 10:15:23Click attachment to listen to Voice Message conteniendo un ZIP cuyo preanalisis de virustotal ofrece el siguiente informe: https://www.virustotal.com/es/file/b5b7edfbe09143fd1907662bb34f34a6e6ea6ca42fa989a140d94631044e81cd/analysis/1500645767/ El cual es un Downloader NEMUCOD que descarga una variante de Troyan TOTBRICK, que […]

Se recibe en un ZIP anexado a email del siguiente tipo:   MAIL MASIVO MALICIOSO: ______________________ Asunto: Please find attached our purchase order number 741 – 516978 X De: “workington.427@eel.co.uk” <workington.427@eel.co.uk> Fecha: 19/07/2017 14:56 Para: destinatario   Please find attached our purchase order number 741 – 516978 X   If you have any queries relating […]