Recibidos en mails anexando ficheros .js o .wsf que descargan e instalan DLL tras cuya ejecución codifican los ficheros de datos de unidades compartidas, añadiendo .ZEPTO a su extensión, pasamos a controlar dos nuevas variantes a partir del ELISTARA 35.20 de hoy El preanalisis de virustotal de dicha nuevas variantes ofrecen los siguientes informes: MD5 […]

Visto que cientos de ZEPTO que descarga el .js que contienen los ZIP anexados a los mail en cuestión, no son operativos, hemos analizado el contenido de dichos .js y visto que están cifrados con un XOR muy simple, que por error (y afortunadamente) el descifrador no funciona en la descarga del NEMUCOD o similar que […]

A partir de la versión 35.14 del ELISTARA de hoy, pasamos a controlar esta nueva variante del ransomware ZEPTO, que actualmente sustituye el tan conocido LOCKY, añadiendo .zepto a la extensión de los cifrados. El downloader js (NEMUCOD) que lo descarga, primero descifra el fichero en cuestión para luego instalar la DLL que codifica los […]

A partir de la versión 35.14 DEL ELISTARA pasamos a controlar esta nueva variante de  downloader js que descarga el ransomware ZEPTO/LOCKY El preanalisis de virustotal ofrece el siguiente informe: MD5 08ba72e33831aed3984e8c108024806a SHA1 c239ea9c07beae4164c08ba3fb56197940413bda File size 142.0 KB ( 145434 bytes ) SHA256:  1bcc768db3371569a82d6c3a75e5f69350ac9cf5b6694626e57353868c2f2ff5 File name:  office_facilities_44B936DF.js Detection ratio:  29 / 56 Analysis date:  2016-09-05 […]

A traves de un mail en aleman, se recibe un fichero JS que descarga un SCR que instala un EXE con un ransomware LOCKY   MAIL MASIVO MALICIOSO _____________________ Asunto: Rechnung Nr. 2016_131 De: <fueldnerF61@lfw-ludwigslust.de> Fecha: 19/02/2016 10:31 Para: <destinatario> Sehr geehrte Damen und Herren, bitte korrigieren Sie auch bei der Rechnung im Anhang den […]

Tal como informamos en nuestra anterior información sobre fichero downloader que se descarga de mail masivo malicioso, el fichero resultante de la ejecucion de dicho downloader es un TESLACRYPT que añade .micro a los ficheros de datos codificados Lo pasamos a controlar con el ELISTARA 33.86 de hoy El preanalisis de virustotal ofrece el siguiente […]

En un mail masivo malicioso, muy escueto, se recibe un fichero anexado que descarga e instala el ultimo y mas peligroso ransomware TESLACRYPT   MAIL MASIVO MALICIOSO _____________________   Asunto: 1/23/2016 9:15:11 AM De: “and.lazzeri” <andlazzeri@najee.net> Fecha: 23/01/2016 10:15 Para: “erinalazzeri” ( y 20 direcciones mas abiertas, visibles en el mail) anexado: XLR.zip (contiene invoice_scan_szzWAH.js) […]