Una avalancha de mails con anexado malicioso están llegando hoy (como casi todos los últimos días), del siguiente tipo:     Asunto: Invoice PIS2407843 De: AutoPosted PI Notifier <NoReplyMailbox@vanroofbars.co.uk> Fecha: 26/09/2017 20:49 Para: destinatario Please find Invoice PIS2407843 attached.   ANEXADO InvoicePIS2811115 contiene PIS7550170.vbs que descarga e instala ransomware LOCKY    

Se están recibiendo cantidad de mails sin texto (solo encabezamiento) anexanmdo fichero empaquetado tippo .7z que contiene .vbs malware con funciones de downloader que descarga e instala variante de ransomware LOCKY que añade .ykcol a los ficheros cifrados Varios ejemplos con anexado diferente que pasamos a controlar a partir del ELISTARA 37.55 son los siguientes: […]

Y aprovechando que muchos usuarios tienen tratos con AMAZON, se están recibiendo mails maliciosos con dicho falso remitente, anexando fichero malware, lo cual es peligroso por la confianza que el usuario pueda tener con ellos… El texto del mail reza asi:   Asunto: Invoice RE-2017-09-21-00800 De: Amazon Marketplace <TzAcdZIuncfOfZ@marketplace.amazon.co.uk> Fecha: 21/09/2017 10:11 Para: DESTINATARIO ————- […]

Se están recibiendo mails tipo spam, con el siguiente formato: Asunto: New voice message 19527685987 in mailbox 195276859871 from “19527685987” <8143501202> De: “Voicemail Service” <vmservice@sdominio del destinatario>Fecha: 20/09/2017 19:59 Para: destinatario     Dear user: just wanted to let you know you were just left a 0:32 long message (number 19527685987)in mailbox 195276859871 from “19527685987” […]

Ya de entrada vemos mails con un remitente conocido, pero que mirando la IP de donde sale el mail, vemos que no concuerda con el que figura en el encabezamiento, sino que por ejemplo, en los dos primeros hemos visto que sus IP son de Vietnan y de Pakistan, a saber: Asunto: Emailing – 10008004466 […]

Con texto igual en varios mails que estám llegando, se sigue recibiendo un fichero empaquetado .7z que contiene un vbs con el downloader NEMUCOD, que descarga e instala el típico LOCKY de moda, que añade .ykcol al final de la extension de los ficheros cifrados. El texto de los actuales mails reza asi: Asunto: HERBALIFE […]

Se están recibiendo masivamente mails sin texto, pero que anexan fichero malicioso que instalan nuevas variantes del LOCKY de moda, el que añade .ykcol (LOCKY al reves) a los ficheros cifrados Los mails en los que vienen anexados con similares a_ Asunto: Message from KM_C224e De: <copier@dominio del destinatario> Fecha: 18/09/2017 18:36 Para: destinatario   […]

Aunque siga siendo un XLS con macros lo que anexa, aparenta en esta ocasión ser   Estimados Sres Les remitimos la factura adjunta al correo. Reciban un cordial saludo   Ficheros adjuntos: 1_warning.htm 1.7 k   [ text/html ] Sustitución por contenido original Descargar  |  Ver   ___________________   Ya el antivirus salta al analizar […]

Están llegando variedad de mails de este tipo:   Asunto: [Factura: FACV00000044] De: arkil@terra.es Fecha: 14/09/2017 12:18 Para: DESTINATARIO Estimados Sres Les remitimos la factura adjunta al correo. Reciban un cordial saludo       ANEXADO: FACV00000-822.xls   Cuyos preanalisis de virustotal ofrecen los correspondientes informes: https://www.virustotal.com/es/file/d0afe977568cbde4b822a3b652c4e80397d1ca0d4caa1e0b21e1a0ee81d4bb86/analysis/1505387995/ __________   y mas de lo mismo pero […]

  EL siguiente mail ha llegado anexando fichero ZIP malicioso, APARENTANDO SER UNA IMAGEN, cuyo contenieo resulta ser un downloader NEMUCOD   Asunto: Asunto: IMG_9152.GIF De: nadia pippins <nadiaNLpippins@gmail.com> Fecha: 04/08/2017 16:01 Para: “sat@satinfo.es” <sat@satinfo.es>   ANEXADO: IMG_9152.ZIP (conteniendo IMG_8813.js que es un downloader NEMUCOD, descarga malwares)  

EL siguiente mail ha llegado anexando fichero ZIP malicioso, cuyo contenieo resulta ser un downloader NEMUCOD Asunto: De: <andris.rozenbergs@ltv.lv> Fecha: 07/08/2017 3:55 Para: “destinatario”   ANEXADO: INFO_5275888147_virus.ZIP —> CONTENIENDO 7931.js (NEMUCOD)  

Siguen llegando mails con fichero anexado malicioso, a saber:   Asunto: IMG_7434.JPG De: erica pruner <ericahbpruner@gmail.com> Fecha: 04/08/2017 3:52 Para: “detinatario” ANEXADO: IMG_7434.ZIP —> CONTENIENDO IMG_6885.js con downloader NEMUCOD   Informe global actual de virustotal: https://www.virustotal.com/es/file/967f118223a1ad63d62244369ffa9385853d90f176c823295610ddada6888c45/analysis/1501839814/   MD5 : 1620e3aa0a0578ec54fd8621e3e42972 ______________________   Asunto: IMG_1175.BMP De: irene morrell <ireneDwmorrell@gmail.com> Fecha: 03/08/2017 16:18 Para: “destinatario” ANEXADO: IMG_1175.ZIP […]