NUEVA VARIANTE DE RANSOMWARE CRPTOLOCKER QUE LLEGA EN FALSO MAIL DE ENDESA Una nueva variante de esta familia de ransomwares pasa a ser controlada especificamente a partir del ELISTARA 34.82 de hoy, gracias a la muestra enviada por un usuario que ha visto el fichero sospechoso al final del informe C:\infosat.txt, que genera tanto el […]

Tanto por telefono como por mail recibimos incidencias de usuarios que han ejecutado el falso mail de ENDESA, descargando el js con el donwloader NEMUCOD que instala el EXE de una nueva variante del Cryptolocker, que pasamos a controlar a partir del ELISTARA 34.81 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 […]

Otra variante de este fatídico ransomware pasa a ser controlada a partir del ELISTARA 34.81 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 fe6585d1be1f1464db194b0dc510e478 SHA1 4fd980d5f7a5193473c0f0c253269753e46b011d Tamaño del fichero 803.5 KB ( 822784 bytes ) SHA256:  bd3140697a1858f83f0f1bdee789167aa8c9eea029aeb6954c51b08100426b86 Nombre:  usajopub.exe Detecciones:  3 / 56 Fecha de análisis:  2016-06-21 11:23:05 UTC ( hace 1 […]

Siguen llegando variantes de Cryptolocker que pasamos a controlar a partir del ELISTARA 34.77 de hoy Los ficheros .JS contenidos en los ZIP que se descargan de dicho falso mail, son NEMUCOD que descargan el EXE ransomware. Ambos (.JS y .EXE) los pasamos a controlar a partir del ELISTARA 34.77 de hoy El preanalisis de […]

Una nueva variante del ransomware de moda, el Cryptolocker del falso mail de ENDESA, ha podido ser identificado gracias a nuestra utilidad CLRANSOM.EXE. A partir del ELISTARA 34.76 de hoy pasamos a controlar especificamente a esta nueva variante, si bien a partir del momento de añadir .VIR a la extensión de dicho fichero y reiniciar, […]

Otras variantes de este ransomware de “moda” que llega en un ZIP descargado en enlace de falso mail de ENDESA, conteniendo un .JS (tipo NEMUCOD) que descarga EXES de diferentes variantes, segun el momento El JS descargado ha sido uno cuyo virustotal ofrece el siguiente informe: MD5 a21f3fd1906f96e3abccc111f53818c5 SHA1 0ace41306b7f02c49af3916d06bc4bdd672e7eb4 Tamaño del fichero 4.7 KB […]

Como ya se ha indicado tantas veces, no paran de generar variantes de dicho ransomware que llega en una aparente factura del falso mail de ENDESA, cuyo enlace descarga un ZIP que contiene un JS cuya ejecución descarga y ejecuta el ransomware propiamente dicho, que reside en un fichero EXE con icono de carpeta, que […]

Mas variantes del dichos ransomware que llega en falso mail de ENDESA, y que pasamos a controlar a partir del ELISTARA 34.73 de hoy. Ofrecemos hashes SHA1 de los .JS que contienen los ZIP asi como de los EXE que generan, los cuales esta vez tienen icono de carpeta “C063618D1DB6DAA128DEF6D0CCABADC9130B4739” -> ENDESA_FACTURA(11).js 4865 “70DAD37CA0F32F0EB7246B2728C1C2F26EC2469C” -> […]

Una variante de dicho ransomware que aun no estaba controlada por el VIrusScan standar (aunque vemos que sí por el método heuristico del motor ARTEMIS, si hubiera estado confgigurado en MUY ALTO, como recomendamos,) : McAfee Artemis!25A3AE6A2FA2 20160609 ha sido detectada por la nueva utilidad CLRANSOM.EXE, la cual ha mostrado la clave de carga de […]

A pesar de los avisos que se han dado al respecto, la picaresca del falso mail de ENDESA que descarga e instala una variante del ransomware CRYPTOLOCKER, engaña a usuarios que pulsan sobre el link de descarga para visualizar la factura… Y no paran de salir nuevas variantes, como esta que la detectan muy pocos […]

Nuevos JS descargan EXE con icono de carpeta y uno cpon icono de tenedores y cucharas !, de los que sus hashes SHA1 ofrecen esos resultados: 94B9D1758F8CEC4861785578490511CDDEA04FEF” -> ENDESA_FACTURA(07).js 4982 “3F35C1636F005FE04043F87B7E65A41885490467” -> isygupec.exe 677888 “D8287DF49F7827A447168747F80CFB26C0A47DC0” -> ENDESA_FACTURA(08).js 4863 “6E922B455165D1E20DA509202C9B3FDF43B926AD” -> yqulrkig.exe 677888 “EC74EBE152431B62DFE374CA2470F4BDED36ED34” -> usafcgih.exe 367581 EL último indicado es el del nuevo icono de […]

Si bien hemos mejorado el ELISTARA a partir de la versión 34.72, filtrando los resultados de las posibles claves desde donde se puede estar lanzando el CRYPTOLOCKER y asi, si no es localizado por las utilidades antivirus, poder recurrir manualmente a renombrar el fichero con nombre desconocido y atipico, añadiendole .VIR a la extension, y […]