Esta vez han cambiado la dirección de correo donde contactar con el hacker, pero por lo demás el fichero anexado es un RANSOMWARE TROLDESH que cifra los ficheros anexando .aleta además de una dirección de correo del hacker, para el rescate, que ha cambiado respecto versiones anteriores El mail, sin texto, es el siguiente: […]

Los dos mails que esta mañana hemos recibido anexando fichero .JPG.ZIP, han contenido downloader JS NEMUCOD cuya ejecución ha descargado e instalado sendos ficheros con malware TOTBRICK, que pasamos a controlar a partir del ELISTARA 37.34 de hoy El preanalisis de viristotal ofrece el siguiente informe: MD5 bec73f7f21eec29e8039f4d56936423e SHA1 1264c7af4fb9dacec7f6d22c4501f5f699c7e3d1Tamaño del fichero 765.0 KB ( […]

Del mismo tipo que el anterior, pero aparentando venir de un usuario de la red del destinatario (para mayor veracidad), se recibe este mail:   Asunto: Emailing: 8545074.JPG De: “Penny” <Penny@dominio destinatario> Fecha: 26/07/2017 11:28Para: <DESTINATARIO>   The message is ready to be sent with the following file or link attachments:8545074.JPG   <– ES UN […]

Se está recibiendo un mail con texto similar a: Asunto: Emailing: 6586947.JPG De: “Lorie” <Lorie@dominio del destinatario> Fecha: 26/07/2017 11:30 Para: “destinatario” The message is ready to be sent with the following file or link attachments: 6586947.JPG  <- es realmente un .JPG.ZIP que contiene un .wsf Note: To protect against computer viruses, e-mail programs may […]

Se está recibiendo este mail : Asunto: Voice Message Attached from 01258882789 – name unavailableDe: <vm@unlimitedhorizon.co.uk>Fecha: 21/07/2017 14:59Para: “sat” <774851342@mail.bs.intra> Time: 21-Jul-2017 10:15:23Click attachment to listen to Voice Message conteniendo un ZIP cuyo preanalisis de virustotal ofrece el siguiente informe: https://www.virustotal.com/es/file/b5b7edfbe09143fd1907662bb34f34a6e6ea6ca42fa989a140d94631044e81cd/analysis/1500645767/ El cual es un Downloader NEMUCOD que descarga una variante de Troyan TOTBRICK, que […]

Recibido en un ZIP anexado a un e-mail, llega empaquetado este fichero conteniendo un JS.NEMUCOD, con este informe: Informe global actual de virustotal Dicha versión del ELISTARA 37.29 que los detecta y elimina, estará disponible en nuestra wbe a partir del 30-7-2017   saludos ms, 29-7-2017

Ya hace un par de meses detectamos el envio de un ZIP infectado con un Nemucod, procedente del mismo remitente indicado en el título, según indicabamos en: https://www.virustotal.com/es/file/24c00ddb29a20ca80e6bcf99c02a42a0ac953e9550ac1dd1bdc41c92acbc58d9/analysis/1499323636/ Dicho RANSOM CRYPT lo pasamos a controlar a partir del ELISTARA 37.20 de hoy, y el preanalisis de virustotal ofrece el siguiente informe: MD5 310bf33358ac596dbd6dcfa0898141d0 SHA1 a9e0b05bae84d5438fce3966861dc95663337878 […]

Se está recibiendo un  mail de un dominio .CZ (Republica Checa) con dominio de Generalli que pudiera confundir a algún usuario, si bien indica que el remitente es del equipo de Microsoft (???). Anexa un ZIP que contiene un JS que resulta ser un downloader NEMUCOD, que pasamos a controlar a partir del ELISTARA 37.14 […]

Y en este caso ofrecemos un poco de información de como se crean e infectan tan prolificos ransomwares “CERBER4” Recibido un mail sin texto, solo con un anexado, a saber:   MAIL MALICIOSO ______________ Asunto: De: <satsang.nu@mail.vresp.com> Fecha: 08/06/2017 15:16 Para: Destinatario ANEXADO : Fichero ZIP __________________ FIN MAIL MALICIOSO Resulta que este ZIP contiene […]

Se están recibiendo nuevos mails similares a los ya conocidos, pero que ofrecemos para que sean conocidos y se puedan excluir del circuito normal… En este caso llevan dos ficheros adjuntos, uno es una imagen jpeg, que visualiza una factura, y el otro un empaquetado que contiene el virus propiamente dicho. Evidentemente lo mas importante […]

La ejecución de un .JS apenas detectado por los AV descarga e instala otra variante del conocido ransomware CRYPTOLOCKER que pasamos a controlar a partir del ELISTARA 36.94 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 e96f42dc355989d262d98122b8803ad5 SHA1 0eb326fe3a62331db343ff0ba64ef975fcfb9294 Tamaño del fichero 348.2 KB ( 356603 bytes ) SHA256: 581e15855fcc57e1f1babca7bbe3264bbc1832d2f713e371782885acad17a0b9 Nombre: 581e15855fcc57e1f1babca7bbe3264bbc1832d2f713e371782885acad17a0b9.bin […]

Igual que los de esta mañana, se están recibiendo mails sin apenas texto, anexando fichero ZIP conteniendo fichero .js con un downloader NEMUCOD que descarga e instala nuevos CERBER4 Los mails son como esta mañana, sin apenas texto: MAIL MALICIOSO ANEXANDO MALWARE _______________________________ Asunto: 1431 De: <andris.rozenbergs@ltv.lv> Fecha: 10/05/2017 13:12 Para: destinatario ANEXADO: FICHERO .ZIP […]