Tras quedar residente, cifra ficheros, incluyendo EXEs y DLLs (respetando %WinDir% y %Archivos de Programa%), añadiendoles la extension “.id[C8E1E393-2275].[checkcheck07@qq.com].Adame” …………. MENSAJE DE DICHO RANSOMWARE ADAME: All you files have been encrypted due to a security problem with your PC. If you want to restore them, there are two way of contact. Mail contact – checkcheck07@qq.com […]

Es una nueva variante de la familia de ransomwares Phobos, Ransom.Adame y/o Ransom.Bot   Cifra ficheros, incluyendo EXEs y DLLs (respetando %WinDir% y %Archivos de Programa%) añadiendoles la extension “.id-********.[admin@datastex.club].ROGER”, tras lo cual queda preparado para relanzarze en el próximo reinicio, según queda en el registro de sistema: %WinSys%\ %nombre%.exe (como el del EXE ejecutado […]

En un fichero empaquetado Mail.Ru.ZIP nos envian varios ficheros, de los cuales tres de ellos corresponden a un conocido adware MAILROOT, con una DLL que ya controlamos con el actual ELISTARA:

siofra herramienta para detectar infecciones de DLLs del sistema No se trata de una nueva técnica de ataque. Al menos lleva en funcionamiento 20 años. Pero el transcurso de los años no evita que los ciberdelincuentes continúen utilizando esta técnica para infectar los equipos de los usuarios con sistema operativo Windows. Un experto en seguridad […]

Se está recibiendo un mail malicioso con solo el encabezado: MAIL MASIVO MALICIOSO: _____________________ Asunto: PHOTO_5695 De: “Mohammad” <Mohammad9@dominio destinatario> Fecha: 15/12/2016 5:21 Para: “destinatario” <destinatario> ANEXADO: PHOTO_5695.zip (CONTENIENDO ORD_0739.JSE) _____________________ FIN MAIL MALICIOSO El preanalisis de virustotal ofrece el siguiente informe: MD5 d01b3bae790db2486817e7cb96b63b2f SHA1 1ce5667b75ff589d423d9e3ea052996b36b0c29e File size 25.6 KB ( 26240 bytes ) SHA256: […]

Sin que estos sean todos los AESIR que estám proliferando en Internet, navegando anexados a mails masivos maliciosos, pasamos a controlar estas nuevas 35 variantes a partir del ELISTARA 35.68 de hoy De ellos el MD5 que identifica a cada uno, es el siguiente: “4E207B30C5EAE01FA136F3D89D59BBBE” -> 08yhrf3.dll  303104 “E5F1325526ADFB77F68E8156F17650EB” -> 12mi44q.dll  144494 “825A1ED325E33212555B49F04CFEC8F1” -> 3aepw.dll  […]

Sigue la moda de los ransomware LOCKY-AESIR, en nuevo mail masivo con este texto:   MAIL MASIVO MALICIOSO: ______________________ Asunto: Please note De: “Fidel Levine” <Levine.Fidel@sat-albatros.com> Fecha: 23/11/2016 0:54 Para: <destinatario> Dear “destinatario” Your tax bill debt due date is today. Please fulfill the debt. All the information and payment instructions can be found in […]

Igual que ayer, primer día del AESIR, hoy recibimos, además del primer mail anexando ZIP conteniendo .js que descargaba DLL instaladora de dicho ransomware, del que hemos informado en: https://blog.satinfo.es/2016/empezamos-el-dia-con-nuevos-mails-anexando-zip-que-contiene-descarga-de-dll-infectora-de-la-nueva-gama-del-ramsomware-locky-que-anade-aesir-a-la-extension-de-los-ficheros-cifrados/ gran cantidad de muestras, todas ellas diferentes, del mismo LOCKY-AESIR, y que pasamos a controlar a partir del ELISTARA 35.67 de hoy, teniendo todos ellos […]

Se está recibiendo este mail masivo cuyo anexado instala un RANSOMWARE LOCKY – AESIR MAIL MASIVO MALICIOSO _____________________ Asunto: Receipt De: “Janine Carey” <Carey.Janine@cable.net.co> Fecha: 21/11/2016 21:06 Para: <destinatarios> Hey there. I transferred money to your account. Please check it out at the earliest possible moment. For that, open the receipt I’ve attached. Later. anexado:  transfer_virus.ZIP   […]

El primero que recibimos de esta nueva familia que añade .DLL a la extensión de ficheros cifrados. Imagen característica de este ransomware.jpg Lo pasamos a controlar a partir del ELISTARA 35.60 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 c07f470b64e08cbd00007511018aae5d SHA1 8cc03df9554f3f2b88f9a416908aa2e35c0ef386 File size 27.5 KB ( 28160 bytes ) SHA256:  35b7dbc8a3f456bdafd02383b8a849a6f5fea5f541b3f0c8502e31c2370e8f31 […]

  De nuevo esta amenaza está en boca de todos y esto significa que una nueva versión ha sido avistada en Internet. Los ciberdelincuentes se esfuerzan por distribuir de una forma eficaz los ransomware, y en esta ocasión se han ayudado de las DLL para que Locky alcance con éxito el equipo de los usuarios […]

Nos llega una nueva variante de esta familia de la que ya controlamos uno parecido con el nombre de malware MSTCKZ, que llega incialmenmte en un fichero JS de extension WSF (DLDR), que genera un EXE (DR) que al final crea y instala una DLL El preanalisis de virustotal ofrece el siguiente informe: MD5 ef0dd079a34625db16764d283fb9701f […]