Una nueva extensión es añadida a los ficheros cifrados por este ransomware, que ultimamente añadía ODIN, antes ZEPTO y al principio LOCKY, y que ahora añade .SHIT Llega en un ZIP anexado a un mail, sin contenido, a saber: “Asunto: Receipt 21238-3471 De: leanna.geldart@gmail.com Fecha: 24/10/2016 18:34 Para: <destinatario>”   El ZIP en el que […]

Los ransomware no paran, aunque cambien de nombre. Asi los actuales ODIN, que han ocupado el lugar de los ultimos ZEPTO, y que en este caso añaden .ODIN a la extensión, cambiando los nombres de los ficheros por un numero hexadecimal separado por guiones. Llegan en un ZIP adjunto a un EMail, que, como sus […]

NUEVO MAIL QUE DESCARGA E INSTALA UN NUEVO RANSOMWARE “ODIN” DE LA FAMILIA DE LOS LOCKY / ZEPTO Absoluta primicia: se está recibiendo nuevo mail masivo que adjunta fichero ZIP que contiene un .wsf que descarga e instala un nuevo ransomware que añade .ODIN a los ficheros que cifra Aunque sea el primero de esta […]

A partir del ELISTARA 35.22 de hoy pasmoa a controlar 4 nuevas variantes del ZEPTO, que abunda en cantidad en los mails que llevan anexados ZIP que contienen .js, .wsf, .DOCM con macros, o XLS con macros El preanalisis de virustotal ofrece el siguiente informe: MD5 e43b3ddfae8a7300501fed2921ca3c20 SHA1 e5e394f44e680c96199c288e7c0f6c4ccfdd64d7 File size 200.0 KB ( 204800 […]

Recibidos en mails anexando ficheros .js o .wsf que descargan e instalan DLL tras cuya ejecución codifican los ficheros de datos de unidades compartidas, añadiendo .ZEPTO a su extensión, pasamos a controlar dos nuevas variantes a partir del ELISTARA 35.20 de hoy El preanalisis de virustotal de dicha nuevas variantes ofrecen los siguientes informes: MD5 […]

Visto que cientos de ZEPTO que descarga el .js que contienen los ZIP anexados a los mail en cuestión, no son operativos, hemos analizado el contenido de dichos .js y visto que están cifrados con un XOR muy simple, que por error (y afortunadamente) el descifrador no funciona en la descarga del NEMUCOD o similar que […]

A pesar de que algunos ZEPTO tienen un problema en el script de lanzamiento que hace que (afortunadamente) no logre su instalación, otros cuyo ZIP contiene un downloader .wsf , sí que logran su objetivo, descargando una DLL que cifra los ficheros añadiendoles la extensión ZEPTO. El preanalisis del .wsf que contiene el ZIP anexado […]

El ransomware es el malware más peligroso con el que nos podemos encontrar. A diferencia de los troyanos, que buscan robar datos de las víctimas, o los virus como tal que solo buscan causar un mal funcionamiento del equipo, este nuevo tipo de malware ataca directamente lo más valioso de los usuarios, sus datos personales, […]

Una nueva variante de este prolífico ransomware (actualmente del que mas incidencias tenemos) pasa a ser controlada a partir del ELISTARA 35.16 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 9b51b49ec823d7454e3b103b51a2c819 SHA1 e7a3c0f0457c8bec21eb288778d38926067aa0d0 File size 158.0 KB ( 161792 bytes ) SHA256:  73394924f7d4c88c69794ef89f23d49a896116f5511d6fba182bacd28b27157d File name:  star.dll Detection ratio:  32 / 56 Analysis […]

A partir de la versión 35.14 del ELISTARA de hoy, pasamos a controlar esta nueva variante del ransomware ZEPTO, que actualmente sustituye el tan conocido LOCKY, añadiendo .zepto a la extensión de los cifrados. El downloader js (NEMUCOD) que lo descarga, primero descifra el fichero en cuestión para luego instalar la DLL que codifica los […]

A partir de la versión 35.14 DEL ELISTARA pasamos a controlar esta nueva variante de  downloader js que descarga el ransomware ZEPTO/LOCKY El preanalisis de virustotal ofrece el siguiente informe: MD5 08ba72e33831aed3984e8c108024806a SHA1 c239ea9c07beae4164c08ba3fb56197940413bda File size 142.0 KB ( 145434 bytes ) SHA256:  1bcc768db3371569a82d6c3a75e5f69350ac9cf5b6694626e57353868c2f2ff5 File name:  office_facilities_44B936DF.js Detection ratio:  29 / 56 Analysis date:  2016-09-05 […]

NUEVA VARIANTE DE RANSOMWARE ZEPTO , SUCESOR DEL LOCKY, QUE VIENE DE ZIP QUE CONTIENE  UN .JS QUE DESCIFRA Y DESCARGA UNA DLL QUE LO INSTALA   Un .js accede a un link que descifra un fichero y descarga la DLL resultante,  que infecta con el ransomware ZEPTO Dichos ZEPTO son versiones “mejoradas” del LOCKY […]