Al igual que otro recibido esta misma mañana, han ido llegando otros similares que anexan diferentes ficheros, pero que simulan ser ficheros de voz. Los textos de los mails indican:   Asunto: Voicemail From 845-551-2063 at 9:35AM De: Microsoft Voice <MSVoice@dominio del destinatario> Fecha: 02/08/2017 0:22 Para: undisclosed-recipients:; Voice Message received at 9:35AM Voicemail Length […]

En un mail con el siguiente fichero anexado, sinmediar tecto, se recibe anexado fichero ZIP que contiene un .JS con downloader NEMUCOD El mail tiene etas características:   Asunto: De: <satsang.nu@mail.vresp.com> Fecha: 01/08/2017 20:25 Para: <destinatario>   ANEXADO : EMAIL_191900165_sat.ZIP —> CONTIENE FICHERO MALWARE eWY5Hic4ka.JS  

Otro mail de los últimos recibidos, lleva anexado fichero ZIP que indican es un ficheros de voz, cuando realmente es un VM275419140_20170801.vbs que presuntamente descarga e instala un ransomware 625, la última familia de los ransomwares conocidos actualmente, y que ya controla Kaspersky como(Kaspersky HEUR:Trojan.Script.Agent.gen 20170802 )   El mail en cuestión indica:   Asunto: […]

  Se trata de un mail de este tipo:   Asunto: Re: file De: bajas@pub.ru Fecha: 01/08/2017 13:34 Para: DESTINATARIO I have received your document. The corrected document is attached.   anexado: file.doc <— realmente es un .doc.pif y contiene un NETSKY P   Ya controlado por nuestra utilidad ELINETSA y disponible en nuestra web […]

Se está recibiendo mail masivo, sin texto ni ASUNTO , con estas características: Asunto: De: <andris.rozenbergs@ltv.lv> Fecha: 31/07/2017 21:12 Para: DESTINATARIO ANEXADO :  EMAIL_17652316065112_virus.ZIP   <— CONTIENE  757088634.zip — nXxNgcja.JS El fichero contenido en el doble ZIP enviado es nXxNgcja.JS que extrae y ejecuta un JS NEMUCOD, descargando y ejecutando un distinto malware en función […]

Se está recibiendo un mail malicioso con singulares caracteristicas en el anexado, y es que viene en formato ISO:  Payment Swift Copy.iso Ya lo controla Kaspersky , y con nuestro ELIMD5 puede detectarse y eliminarse añadiendo el siguiente hash:  4d2b816b9ca64b1292cf012348dd80b5 El texto del mail es de pura ingenieria social, pues informan del pago de una […]

En un mail del siguiente tipo   Asunto: De: <info@ngkerk.org.za> Fecha: 27/07/2017 21:21 Para: <detinatario>   ANEXADO: 673884326407.ZIP —> contiene 7J.js que instala ransomware TROLDESH (que añade .aleta a los que cifra) llega anexado un fichero cuyo preanalisis de virustotal

  Esta vez han cambiado la dirección de correo donde contactar con el hacker, pero por lo demás el fichero anexado es un RANSOMWARE TROLDESH que cifra los ficheros anexando .aleta además de una dirección de correo del hacker, para el rescate, que ha cambiado respecto versiones anteriores El mail, sin texto, es el siguiente: […]

Se ofrecen dos de los varios mails que se están recibiendo con similar estructura y e ofrecen dos de los varios mails que se están recibiendo con similar estructura y Asunto: De: no-reply@stevenewman.co.uk Fecha: 26/07/2017 23:06 Para: virus@satinfo.es Your Payment is attached. ANEXADO: doc00098112330193610635.zip <— 001_1935.zip <—  001_1935.DOCM <— fichero con  macros maliciosas que instalan downloader […]

Se está recibiendo un  mail de un dominio .CZ (Republica Checa) con dominio de Generalli que pudiera confundir a algún usuario, si bien indica que el remitente es del equipo de Microsoft (???). Anexa un ZIP que contiene un JS que resulta ser un downloader NEMUCOD, que pasamos a controlar a partir del ELISTARA 37.14 […]

MAIL MASIVO MALICIOSO _____________________ Asunto: 58524 virus De: <product.marqrel@brands4friends.jp> <—Ver que el dominio del remitente es del JAPON) Fecha: 01/05/2017 0:49 Para: DESTINATARIO ANEXADO: 9230109567.ZIP <———(Malicioso, conteniendo 29472.js con downloader NEMUCOD) __________________ FIN MAIL MALICIOSO Si bien no nos ha funcionado el downloader en la monitorización del fichero anexado, quizás por haber sido ya capada […]

Una nueva variante del conocido Cryptolocker que llega en mail malicioso relacionado con FACTURA SEGURA / PAGOS, con un enlace al DROPBOX de un ZIP que descarga un .js que instala dicho cryptolocker, pasa a ser controlada a partir del ELISTARA 36.71 de hoy El preanalisis de virustotal del exe que termina ejecutando, el que […]