La familia del ransomware Locky no para de ir propagandose con nuevas variantes anexadas a mails masivos, en sus correspondienets downloaders, generalmente NEMUCODS Todos ellos los pasamos a controlar a partir del ELISTARA 34.56 de hoy La última serie de dichas variantes nos han ofrecido estos hashes SHA1: “055DBAC0FE313D2C4CF87E8054C06D467E3339CC” -> jhkuj5h44gv.exe 116736 “2A703AC03B694F13143E28925FD5000C1D8DD75E” -> y78fj34f3.exe […]

Se está recibiendo masivamente un escueto mail masivo (solo se aprecia el encabezamiento) Asunto: Attached Image De: copier29554@<dominio destinatario> Fecha: 16/05/2016 12:45 Para: <nombre destinatario> Con la picaresca de que el remitente indica como dominio el del destinatario, para que parezca que viene de su intranet, y la primera parte del nombre del ZIP anexado, […]

Tal y como venimos comprobando desde hace meses, el ransomware se ha convertido en una amenaza muy activa, donde vemos variantes nuevas aparecer prácticamente todas las semanas. Muchas de estas nuevas variantes copian técnicas usadas por las más conocidas mientras que otras, las que menos, intentan innovar para conseguir infectar a más usuarios o hacer […]

Debido a macros maliciosas existentes en el documento que llega anexado a un mail masivo malicioso (Document 2.docm) , se genera y ejecuta fichero nbtv64cvh.exe, que pasamos a controlar a partir del ELISTARA 34.55 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 42221a3c2ef7c0b9f5292ee5f6382fc7 SHA1 6621ab1500e25cc20601754f584e8197d493840a Tamaño del fichero 119.5 KB ( 122375 […]

Nunca se ha tomado una decisión tan tajante, o al menos que nosotros recordemos. El congreso de Estados Unidos ha decidido banear la utilización de Yahoo! Mail entre sus miembros para evitar problemas de seguridad. Los responsables de seguridad justifican esta decisión en los problemas que el servicio ha tenido a la hora de reportar […]

Otro mail con las mismas caracteristicas que los de otros Lockys de hoy, anexa fichero ZIP que contiene un JS que instala un EXE con ransomware LOCKY Lo pasamos a controlar como los demás, tanto el JS como el EXE, a partir del ELISTARA 34.54 de hoy El preanalisis de virustotal ofrece el siguyente informe: […]

De un mail que llega de la misma dirección de correo del usuario que la recibe, y hay quien supone que se la envia un familiar desde su misma cuenta de correo (en varios casos ha hecho lo mismo), se recibe un mail similar a Asunto: Emailing: Photo 05-12-2016, 26 55 76 De: remitente/destinatario Fecha: […]

Con texto muy escueto se recibe nueva variante del ransomware de moda, el LOCKY Asunto: De: <m.baumert@koepenick-nord.de> Fecha: 12/05/2016 0:09 Para: “sat” <destinatario> anexado INVOICE_46636_sat.zip (contiene document_copy.js) que instala el 8977g78bi.exe Dicho js descarga e instala el EXE con el Locky propiamente dicho, cuyo preanalisis de virustotal ofrece el siguiente informe: MD5 b6ab1e3d440f8975d5eaef1505f60345 SHA1 22808ab6811520c03dc8e4d10d0b592e7489f3ec […]

A partir del ELISTARA 34.53 de hoy, pasamos a controlar esta nueva variante de ransomware Si bien este virus se autoelimina cuando termina de cifrar ficheros en unidades compartidas, deja una pantalla de INICIO que el ELISTARA elimina, pudiendo pasar a restaurar los ficheros cifrados a partir de la copia de seguridad. El preanalisis de […]

Mas variantes del ransomware de moda, que ahora es el LOCKY, que si bien desaparece tras cifrar los ficheros de datos, queda el fondo de pantalla (que elimina el ELISTARA) y los ficheros cifrados, autoborrandose el ransomware, de modo que en el siguiente reinicio ya no sigue cifrando, pudiendo restaurar los ficheros de la copia […]

Gracias a información obtenida en VirusTotal, hemos descargado 40 muestras de esta familia de ransomwares, de las cuales 12 han sido ya detectadas y eliminadas por el actual ELISTARA, quedando las 28 restantes para analizar y pasar a controlar a partir del ELISTARA 34.52 de hoy Los hashes SHA1 de dichos 28 nuevas variantes de […]

A partir de la versión 34,52 del ELISTARA de hoy, pasamos a controlar estas nuevas variantes del ransomware de moda Los hashes SHA1 de los tres ficheros son los siguientes: “6218BD4EBA6D91007D8B8C32A040194EC123F5B6” -> svchost.exe 95232 “9F06AE399FC6280E97042C88C3A386D0DB3798CB” -> 2.exe 165888 “E64E4617C8BDB5C6C3AE30E73D8211400651C8BA” -> 56y4g45gh45h.exe 93975 El preanalisis de virustotal sobre el descargado en TEMP con nombre SVCHOST.EXE (que […]