La ejecucion del ultimo NEMUCOD analizado nos ha descargado e instalado un ransomware que indica esta informacion: __________ ATTENTION! All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key. To restore your files you have to pay 0.74287 BTC (bitcoins). Please follow this manual: 1. […]

Y a lo largo de hoy nos han entrado estas 12 variante de TESLACRYPTS-V, de los que no cambian el nombre de los ficheros cifrados ni su extension, y que pasamos a controlar a partir del ELISTARA 34.17 de hoy Los hashes correspondientes son: “052008C746857F95BD4A8D778272AB6E269D1041” -> 80(2).exe 324096 “8292680D80E20BFDB045A8533B3450FADEE1BC53” -> 80(1).exe 324096 “BC79988549B7821A89A8E95CFBB3672C71807900” -> 85(2).exe […]

Recibidos diferentes mails con anexado malicioso, ofrecemos contenido de algunos de ellos de los que pasamos a controlar los ficheros anexados (downloaders JS) asi como los EXES que ellos instalan y ejecutan. Uno de los mails ofrece el siguiente contenido: Asunto: FW: Order F-418566 De: Gaylord Patel <PatelGaylord23855@rossiferramenta.net> Fecha: 16/03/2016 15:57 Para: <destinatario> Dear <destinatario>, […]

Solo Kaspersky y otro AV detectaban este LOCKY cuando lo hemos subido al virustotal, por lo que se envia a McAfee una muestra para que añadan su control y eliminacion en la proxima version de DATS para el VirusScan A partir del ELISTARA 34.16 pasamos a controlar esta nueva variante, si bien se recuerda que […]

De la monitorizacion, (desempaquetado e instalacion del contenido), del fichero anexado al mail masivo conteniendo un downloader, que instala una variaNte de ransomware LOCKY A partir del ELISTARA 34.16 pasamos a controlar esta nueva variante, si bien se recuerda que este ransomware desaparece una vez cifrados los ficheros de datos, sin que instale clave de […]

Se está recibiendo nuevo mail malicioso con este contenido:   MAIL MASIVO MALICIOSO _____________________ Asunto: FW: Payment ACCEPTED M-128912 De: Kelly Maynard <MaynardKelly83136@nikisbridal.com> Fecha: 15/03/2016 20:18 Para: virus <DESTINATARIO> Dear virus, Please check the payment confirmation attached to this email. The Transaction should appear on your bank in 2 days. Thank you. Kelly Maynard Financial […]

Las firmas de seguridad advierten sobre el aumento repentino en los mensajes de correo electrónico basura que contienen ransomware. Se culpa por este aumento al grupo detrás de un nuevo tipo de ransomware llamado Locky. Una firma de seguridad reportó que una versión de Locky, producida hace dos semanas, es la segunda forma de ransomware […]

Aparentando venir de una Agencia de viajes, llega un mail anexando fichero malicioso: MAIL MASIVO MALICIOSO _____________________ Asunto: Itinerary #26FDB2FF De: no-reply@clicktravel.com Fecha: 15/03/2016 11:47 Para: DESTINATARIO Please see document attached ANEXADO: Hotel-Fax-V004X3R8_4983252052512314320.zip (CONTENIENDO MQW2550282401.js que descarga e instala un ransomware LOCKY) ______________________ FIN DEL MAIL MALICIOSO dicho fichero anexado es un ZIP : Hotel-Fax-V004X3R8_4983252052512314320.zip […]

Descargadas por downloaders JS, que instalan el ransomware en cuestion en carpeta temporal y lo ejecutan, cifrando el contenido de los ficheros de datos, estas variantes de ransomware que terminan con .LOCKY detras del nombre del fichero que cambian codificando su interior, se caracterizan por no persistir (de momento) tras dicho cifrado, por lo que […]

Acabamos de recibir muestra de un usuario a quien el ELISTARA ha pedido que nos enviara muestra de un fichero sospechoso que ha aparcado en C:\muestras Dicho fichero ha resultado ser una nueva variante de TESLACRYPT-T que aun los antivirus actuales no detectan (por ser de muy reciente creación) El preanalisis de virustotal ofrece el […]

Otro ransomware LOCKY descargado por un downloader pasa a ser controlado especificamente a partir del ELISTARA 34.13 de hoy De todas formas, al terminar el cifrado, este ransomware desaparece quedando solo el fondo de pantalla con instrucciones del hacker (que es eliminado por el ELISTARA) ademas de los ficheros TXT, BMP y HTM que deja […]

9 Nuevas muestras recibidas de variantes del ransowmare TESLACRYPT-T pasan a ser controladas a partir del ELISTARA 34.13 de hoy La identificacion a traves de los hashes correspondientes pfrecen esta informacion: “73A5E58F49E28277BA1009E89DC5F88BFF9A742A” -> 87(02).vir 470016 “CC24F0B73DB26490B39A867584FD1724F3881B38” -> 69(02).vir 470016 “82DFD95577956BA615DC57D23349B4E35C2F00D1” -> 93(01).vir 470016 “0B8C0C99FCB3067B1BB0932E1B3B2B91C0217BF7” -> 80(01).vir 470016 “85FB98F8D8AE2FC02AC6CD71CA047716FC04692A” -> 25(2).exe 470016 “93DD327AD0CC8203B121AE50795550B8296C6D98” -> 69(1).exe 555008 […]