Tal y como informabamos esta mañana al respecto de varios mails maliciosos que anexan fichero ZIP que contiene un JS (con downloader NEMUCOD), aparte de añadir su control en el ELISTARA 34.08 de hoy, su monitorizacion nos ha descargado hasta 3 veces cada uno con diferentes variantes del TESLACRYPT, que actualmente son de la variante […]

Se estan recibiendo mails anexando diferentes variantes del Docwloader NEMUCOD, en cuya monitorizaicon veremos lo que descargan, posiblemente un ransomware TESLACRYPT El contenido de dichos mails es del siguiente tipo: MAILS MALICIOSOS RECIBIDOS MASIVAMENTE, ANEXANDO DOWNLOADER NEMUCOD: ____________________________________________________________________ Asunto: Order Delay – Package Ref. 36821823 De: =?UTF-8?B?VmlyZ2luaWEgbGF1cmll?= <laurieVirginia68@local522.org> Fecha: 04/03/2016 01:52 Para: =?UTF-8?B?c2F0?= <destinatario> Respected […]

Ya ayer vimos un log del SPROCES con varias claves lanzando sendos ficheros de una nueva variante del TESLACRYPT, de los cuales pedimos muestra al usuario infectado y nos ha llegado, pasandola a controlar especificamente a partir del ELISTARA 34.08 de hoy, si bien las claves indicadas ya las eliminabamos desde el actual ELISTARA disponible […]

De ultima hora es la deteccion de una nueva variante del prolifico TESLACRYPT, que ahora va creando claves de lanzamiento del malware en cada reinicio, pero a diferencia del R, este cambia tambien el nombre del fichero que lanza ! Aun cuando no hemos recibido ficheros muestra del mismo, por el SPROCES vemos diferentes claves […]

A partir del ELISTARA 34.07 pasamos a controlar esta nueva variante del TESLACRYPT El preanalisis de virustotal ofrece el siguiente informe: MD5 7ba9f92fbbfc9d432d85803d3ded34d1 SHA1 2cdef794b0130f0ab5f9ecb527de217c80531d10 Tamaño del fichero 371.3 KB ( 380179 bytes ) SHA256: 188211473efbc286266633bd30b750edae34eb9b3a22e7cdcb104f1e4187a92a Nombre: linxxgcmhtqx.vir Detecciones: 35 / 56 Fecha de análisis: 2016-03-03 10:24:19 UTC ( hace 3 minutos ) 0 1 […]

Una nueva variante de la familia de ramsomwares TESLACRYPT, lo pasamos a controlar a partir del ELISTARA 34.07 de hoy Ha sido descargado por un downloader NEMUCOD, que llegó anexado a un mail malicioso, en cuya monitorizacion ha instalado y ejecutado esta nueva variante del ransomware indicado, que, al igual que anteriores versiones, sigue añadiendo […]

A partir del ELISTARA 34.05 de hoy pasamos a controlar esta nueva variante de ransomware, aun muy poco controlado por los AV (solo 2 de 56) El preanalisis de virustotal ofrece el siguiente informe: MD5 9c5471f93656a425198ba99da535bde3 SHA1 683571b09846e5a77478b138fa1b163a08ab8b90 Tamaño del fichero 395.4 KB ( 404881 bytes ) SHA256: 163e7d45f23b4754935e45cfa8d5ae041114de1f66c4cebc7c651910b30329f7 Nombre: 80.exe Detecciones: 2 / 56 […]

Otra muestra pedida por el ELISTARA pasa a ser controlada especificamente a partir del ELISTARA 34.04 de hoy. El preanalisis de virustotal ofrece el siguiente informe: MD5 c1d177c02bf57595aa245841f0967767 SHA1 d157819ee1b4de5ff6d6536baa8c0d9b6cd65b77 Tamaño del fichero 243.0 KB ( 248832 bytes ) SHA256: 7e8f04fe8f3d5fa1991e7fe5a9d07815b0440730e5b8f22fb4c7bc8c2aac11dd Nombre: AVAPTPLBNMVB.EXE.Muestra EliStartPage v34.02 Detecciones: 26 / 56 Fecha de análisis: 2016-02-29 09:49:21 UTC […]

De usuarios afectados por cifrado de ficheros, hemos recibido 4 ficheros cuyo preanalisis en virustotal ofrecen deteccion del TESLACRYPT-R Los pasamos a controlar a partir del ELISTARA 34.03 de hoy 2207C2FB03CF0B8265EFBA9F5EF9BDED.exe ——> Ransom.TeslaCrypt.R E0071B05F209FF983CE4CDE0EB35B057.exe ——> Ransom.TeslaCrypt.R 5A79505B32B0DDC40B36CB8207313485.exe ——> Ransom.TeslaCrypt.R C6EB8C6A60263D7BC309D708489BE09E.exe ——> Ransom.TeslaCrypt.R El informe resultante de uno de ellos es el siguiente: MD5 2207c2fb03cf0b8265efba9f5ef9bded SHA1 […]

Tras el analisis del ELISTARA en un ordenador que ha provocado cifrado de ficheros de datos, aparca y solicita muestras de: Por favor, envienos el INFOSAT.TXT y una muestra del fichero C:\Muestras\JQITTCKSABAM.EXE.Muestra EliStartPage v34.01 a “virus@satinfo.es”. Gracias. Por favor, envienos el INFOSAT.TXT y una muestra del fichero C:\Muestras\QBPOTSMBRLHX.EXE.Muestra EliStartPage v34.01 a “virus@satinfo.es”. Gracias. En el […]

Si bien con el ELISTARA actual ya se detecta y aparca en C:\muestras el fichero malware, pidiendo muestra para analizar, a partir del ELISTARA 34.02 pasamos a controlar especificamente esta nueva variante El preanalisis de virustotal ofrece el siguiente informe: MD5 a7d3bc614d7d729fe1cf60cab1495865 SHA1 b84609349f25f467e94a3ee0c8c8b032d13481ed Tamaño del fichero 396.0 KB ( 405504 bytes ) SHA256: a81bf07e0313ac4104999a3ec656e37f747c13f6480b212e71a9f4d5768ef643 […]

Si bien ya desde el CRYPTOLOCKER indicamos que habia la posibilidad de recuperacion de ficheros de versiones anteriores a los cifrados, gracias a la copia automatica que hace el SHADOWCOPY en las estaciones de trabajo con windows 7 o posterior (el XP aun no incorporaba dicha utilidad), luego, a partir del CRYPTOWALL resultó que algunos […]