Hemos recibido tres mails típicos de anexar malware, con ficheros ZIP que contienen .js que descargan downloader malicioso, que pasamos a controlar a partir del ELISTARA 36.62 de hoy Los textos de dichos mails son los siguientes:   MAILS MALICIOSOS ________________ Asunto: su factura De: “Adriana Fernandez” <Fernandez46@picclick.es> Fecha: 07/04/2017 17:54 Para: “DESTINATARIO” < Hola […]

De nuevo se recibe un mail con el asunto “LA FACTURA”…   MAIL MALICIOSO ______________ Asunto: la Factura De: “Paula Sanz” <Sanz4939@vanexelinformatica.es> Fecha: 06/04/2017 18:33 Para: “destinatario” DESTINATARIO la Factura. Saludos cordiales, Paula Sanz ANEXADO: 801917.zip <— contiene 801917.js con downloader NEMUCOD que descarga iwiryzuw.exe con el Cryptolocker __________________ FIN MAIL MALICIOSO Ambos ficheros pasan a […]

En un mail aparentando anexar una factura a descargar de un enlace al DROPBOX, se obtiene un ZIP (579901.ZIP) que contiene este .js: 579901.js que es un downloader NEMUCOD  y que descarga una variante de ransomware CRYPTOLOCKER El mail malicioso en el que llega presenta estas características: MAIL MALICIOSO ______________ Asunto: su factura De: “Carmen […]

Se está recibiendo este mail que anexa un ZIP conteniendo .js malicioso que descarga e instala nueva variante de Cryptolocker: MAIL MALICIOSO: _______________ Asunto: Esta es tu factura Fecha: Wed, 5 Apr 2017 16:32:25 +0200 De: Martina Ramirez <Ramirez20@tweezerman.es> Para: “destinatario” “destinatario” Detalles del pago. Saludos cordiales, Martina Ramirez anexado: 524247.zip (conteniendo 891453.js que instala […]

Otra variante de esta familia de ransomwares, que pasamos a controlar igual que las anteriores a partir del ELISTARA 36.59 de hoy, llega anexada a un mail de este tipo: MAIL MALICIOSO ______________ Asunto: su factura De: “Sofia Serrano” <Serrano1638@fastunlock-uk.hol.es> Fecha: 05/04/2017 12:12 Para: “DESTINATARIO” DESTINATARIO Detalles del pago. Saludos cordiales, Sofia Serrano Anexado : […]

Otra de las formas de infectarse con el Cryptolocker es a través de la ejecución de un downloader NEMUCOD, que puede llegar anexado a un e-mail de los típicos de “FACTURA” En este caso, el mail malicioso en el que nos ha llegado una nueva muestra, aun poco controlada, es del siguiente tipo: MAIL MALICIOSO […]

El EXE resultante de la ejecución de las macros maliciosas del último mail recibido al respecto, genera e instala este EXE, que es realmente el Cryptolocker propiamente dicho, y que pasamos a controlar a partir del ELISTARA 36.59 de hoy, MD5 d09fe8714b0210e4d3962d227c332a7f SHA1 ace1bb57f73fe329f7f48a0d594a927f5d7bca03 Tamaño del fichero 454.4 KB ( 465355 bytes ) SHA256: 729e3687ca19cee3762d56330f1d1aa1a28498b2cb8156e0fd791d7b4eb1fc77 […]

Una nueva variante de Cryptolocker pasa a ser controlada a partir del ELISTARA 36.59 de hoy El mail al que llega anexado es del siguiente formato:   MAIL MALICIOSO ______________

Otro mail similar al anterior y que pasamos a controlar con igual ELISTARA 36.57 de hoy, se ha recibido con el siguiente texto: MAIL MALICIOSO ______________ Asunto: Información sobre la factura De: “Daniela Serrano” <Serrano048@ssm-hrc.ro> Fecha: 3/04/2017 8:42 Para: “destinatario” “destinatario” su factura. Saludos, Daniela Serrano anexado: 976232.zip (conteniendo fichero DOC con macros maliciosas) __________________ […]

Mas de lo mismo, pero ahora con menos afluencia que hace 15 días, hoy nos llega esta nueva variante de Cryptolocker anexado a un email que pasamos a controlar a partir del ELISTARA 36.57 de hoy. El mail en el que llega es similar a: MAIL MALICIOSO _______________   Asunto: su factura De: Alvaro Munoz […]

Si bien tiene de malo que viene de un remitente muy conocido (Agencia Tributaria) y con un asunto sensible (Errores en su Declaracion de Renta), adolece de faltas de ortografía que hacen sospechar a cualquier usuario que lea el mail, ante varias palabras del texto que delatan una falta de profesionalidad del que lo ha […]

Al igual que los anteriores que ya hemos indicado venian con logo de seguridad de Norton, de McAfee y de VeriSign, este de ahora indica al final: “rnrn__________ Information from ESET Mail Security, version of virus signature database 15130 (20170322) __________rnrnThe message was checked by ESET Mail Security.rnhttp://www.eset.comrnrn” Que es muy probable que sea propio […]