LLega un mail masivo conteniendo un e-mail de este tipo:   MAIL MASIVO MALICIOSO: ______________________ Asunto: Scan from a Samsung MFP De: “CHRIS CARDNO” <chris.cardno.2518@edgerety.com> Fecha: 08/12/2016 6:04 Para: <destinatario> Regards Chris —–Original Message—– Please open the attached document. It was scanned and sent to you using a Samsung MFP. For more information on Samsung […]

Pues si vemos .osiris añadido a la extensión de ficheros cifrados, hemos de adjudicarlo a una nueva variante de LOCKY que añade dicha extensión a los ficheros que codifica Llega igualmente que los anteriores en un fichero anexado a un mail, en este caso similar a: MAIL MASIVO MALICIOSO _____________________ Asunto: Invoices De: “Katherine Duke” […]

A partir del ELISTARA 35.75 de hoy, pasamos a controlar estas nuevas DLL que instalan variantes del ransomware LOCKY tipo zzzzz Sus hashes MD5 tienen los siguientes datos: “014F760CE9E91C2BAD40A675731B85AD” -> 4bl3yqszl.dll  149337 “337B70A80A8BA86A0F22DFABBB164CCE” -> 6v5r7thh.dll  180224 “C8AC6F144B855D8CDEE9636282CDAFB4” -> 7mo0pu9nzq.dll  149337 “E1E906E43F6DA08581AB5FDA2D774B7D” -> 7wxru3.dll  149337 “264AE6BA251FB4115113108ED6B376CE” -> cuju7oxfdu.dll  149337 “D76A736222F1CFB5D87B50D38A0A0C42” -> f7yes1g27p.dll  149337 “6D0B44F652DB2F67C895F39B4DC54061” -> k0eqq8.dll  […]

Otro mail que se está recibiendo con fichero anexado ZIP que contiene un .JS , descarga un fichero de extensión atípica .zk que se ejecuta con el RUNDLL32 e instala un ransomware LOCKY /zzzzz como tantos otros que vamos conociendo diariamente. El texto del mail es el siguiente:   MAIL MASIVO MALICIOSO _____________________ Asunto: Payment […]

Si bien hasta ahora eran .DLL la mayoría de ficheros que llegaban contenidos en los ZIP que anexcabam los emails maliciosos correspondientes, ayer ya empezaron a llegar y hoy aun mas, los ficheros directamente ejecutables los que descargan los .js y no les hace falta aplicar el RUNDLL32 ni indicar la función a ejecutar para […]

El fatídico LOCKY, actualmemte añade .zzzzz a la extensión de los ficheros cifrados, además de cambiarles el nombre, convirtiendo una imagen .JPG, por ejemplo, en un fichero de nombre variable y extensión zzzzz: 82EFB237-1498-3A47-0ECA-697B6FAD13BE.zzzzz eliminando las versiones anteriores del fichero, con lo que elimina la posibilidad de restaurarlo a partir del Shadow Copy que hubiera […]

2 .JS, 4 .exe, 3 .dll y 1 .vbs son las diferentes extensiones de los ficheros que nos  han generado hoy los diferentes procesos que nos han intentado descargar e instalar este ransomware tan fastidioso, en las monitorizaciones correspondientes. Los MD5 de dichos ficheros son los siguientes: “65A57DB1428B9076C3EC33B11DFE2D85” -> -snk-428522228.js  (Locky)  9289 “68C00E1336B86B9A734D3CE994AC0445” -> -snk-8733953478.js  […]

Esta vez ha sido en un VBS (en lugar de los .JS que utilizan normalmente), el fichero utilizado para descargar e instalar el dichoso ransomware LOCKY que cifra la información de todos los ficheros de datos de las unidades compartidas con el ordenador donde se ejecuta el fichero de marras. Lo pasamos a controlar a […]

Se está recibiendo nuevo envio masivo de mail infector de LOCKY / ZZZZZ Una vez mas, la ejecución de los ficheros anexados a mails no solicitados pueden conllevar un disgusto…, en esta ocasión instalando una variante de ransomware LOCKY, que pasamos a controlar con ELISTARA 35.72 de hoy El texto del mail es el siguiente: […]

Al monitorizar nuevas muestras recibidas del ransomware de moda, que llegan por email anexadas en un ZIP que contiene un .JS, nos ha descargado un fichero .TDB en carpeta temporal que ejecuta con un RUNDLL32 indicando para ello una función, que en la monitorización de este caso hemos visto que utilizaba RXIT, con lo que […]

De otra serie de ransomwares Locky, de la variante zzzzz que está de moda actualmente, hemos escogido 25 ficheros para analizar y controlar. Vemos que tienen estos MD5:   MD5                                        NOMBRE FICHERO   TAMAÑO “EE78B430440A2B535112D860313B5234” -> 1l7zisxsqy.dll  285196 “8550AFBD2D6BC6FDC880F776BA0F25A8” -> 2hd0sxoga.dll  284172 “1F3E9D3716A9D0DF36967660BF327861” -> 3vn98emgio.dll  285196 “838082F2EDE8D22873A4857773797520” -> ad0pqg.dll  284684 “5B7ED1AD93E36CF92A4A24A6E78746F0” -> bumq1.dll  284172 “C7F6513CFE6F046B43BF3C28EF33CAFB” -> […]

Conocido ya como ImageGate, los expertos en seguridad han detectado esta semana que los ciberdelincuentes se han bastado de una vulnerabilidad existente en ambas plataformas para forzar a los usuarios a descargar imágenes. Esto no sería peligroso si no fuera porque en el interior del código que genera la imagen se ha incluido otro que […]