Publicado el 19 septiembre 2016 ¬ 14:50 pmh.mscComentarios desactivados en NUEVAS VARIANTES DE RANSOMWARE ZEPTO (derivado del Locky)
De este ransomware hemos recibido dos variantes que pasamos a controlar a partir del ELISTARA 35.24 de hoy El preanalisis de virustotal de una de ellas ofrece el siguiente informe: MD5 0adfc1cdef957de48a5bdb8b86d9de5e SHA1 82253edbf3041e467df39af43d984276d60542fa File size 252.0 KB ( 258048 bytes ) SHA256: 822a79905ca4820687a57733e08a2af8d47bace8de0fc918e2e6cfab701b5fa6 File name: 54JHbjgcDLG(02).dll Detection ratio: 35 / 57 Analysis date: 2016-09-19 […]
Leer el resto de esta entrada »
Publicado el 16 septiembre 2016 ¬ 10:57 amh.mscComentarios desactivados en NUEVA VARIANTE DE UN DOWNLOADER DEL RANSOMWARE ZEPTO QUE LLEGA A TRAVES DE UN MAIL EN INGLES
A través de un fichero .js contenido en un ZIP anexado al mail que indicamos a continuación, se recibe un downloader que nos ha descargado un ransomware ZEPTO , indicado al final, que tambien pasamos a controlar, junto con este downloader, a partir del ELISTARA 35.23 de hoy MAIL MALICIOSO _______________ Asunto: Booking confirmation […]
Leer el resto de esta entrada »
Publicado el 15 septiembre 2016 ¬ 17:51 pmh.mscComentarios desactivados en Y POR ULTIMO OTROS TRES RANSOMWARE ZEPTO RECIBIDOS A ULTIMA HORA, PASAN A SER CONTROLADOS POR EL ELISTARA
Aun poco detectados por los AV actuales, el ELISTARA PASA A CONTROLARLOS A PARTIR DE LA VERSION 35.22 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 31007b3f1e4e4b30f273a25350c01b8d SHA1 aa3070e9f682b66afbc86d50055a492072bdae3b File size 160.0 KB ( 163840 bytes ) SHA256: 827af4863d7f0365f1983a4022d362bd623df38bf6d2f0a96b0eb771a61760e2 File name: ugqblhk.dll Detection ratio: 16 / 58 Analysis date: 2016-09-15 15:46:18 UTC […]
Leer el resto de esta entrada »
Publicado el 15 septiembre 2016 ¬ 14:59 pmh.mscComentarios desactivados en OTROS CUATRO RANSOWMARES ZEPTO (SUCESOR DEL LOCKY) QUE PASAMOS A CONTROLAR CON ELISTARA
A partir del ELISTARA 35.22 de hoy pasmoa a controlar 4 nuevas variantes del ZEPTO, que abunda en cantidad en los mails que llevan anexados ZIP que contienen .js, .wsf, .DOCM con macros, o XLS con macros El preanalisis de virustotal ofrece el siguiente informe: MD5 e43b3ddfae8a7300501fed2921ca3c20 SHA1 e5e394f44e680c96199c288e7c0f6c4ccfdd64d7 File size 200.0 KB ( 204800 […]
Leer el resto de esta entrada »
Publicado el 14 septiembre 2016 ¬ 17:01 pmh.mscComentarios desactivados en NUEVA VARIANTE DE RANSOMWARE ZEPTO DESCARGADA DE LA MISMA WEB QUE EL CERBER 3
A través del cambio de parámetro de un enlace a un PHP de una web (seguramente pirateada) del mismo enlace que apuntaba a un CERBER 3 que ya hemos documentado, nos ha descargado ahora un ZEPTO, totalmente operativo y que añade la extensión .zepto a los ficheros cifrados, el cual pasamos a controlar a partir […]
Leer el resto de esta entrada »
Publicado el 14 septiembre 2016 ¬ 11:37 amh.mscComentarios desactivados en NUEVAS VARIANTES DE RANSOMWARE ZEPTO QUE LLEGAN POR MAIL, UNA DE ELLAS DESCARGADA POR UN HTA TIPO NEMUCOD
Si bien estamos recibiendo variantes de dicho ransomware a traves de ficheros tipo .wsf y .js contenidos en ZIP, hoy hemos documentado uno que ha llegado en un downloader con extensión .hta, el primero en su especie… Junto con otros que van llegando como de costumbre, este .HTA pasa a ser controlado a partir del […]
Leer el resto de esta entrada »
Publicado el 14 septiembre 2016 ¬ 10:25 amh.mscComentarios desactivados en NUEVO MAIL QUE LLEGA ANEXANDO ZIP CONTENIENDO FICHERO HTA CON DOWNLOADER DEL RANSOMWARE ZEPTO
Si bien ya estamos diciendo siempre que no se deben ejecutar ficheros anexados a mails no solicitados, esta vez nos han sorprendido al anexar un ZIP con un .HTA, que hasta ahora no habiamos recibido ninguno antes Se trata de un downloader, tipo NEMUCOD, que esta vez descarga un ransomware ZEPTO (derivado del LOCKY) , […]
Leer el resto de esta entrada »
Publicado el 13 septiembre 2016 ¬ 17:20 pmh.mscComentarios desactivados en NUEVA VARIANTE DEL DOWNLOADER DEL RANSOMWARE ZEPTO, LLEGANDO EMPAQUETADO EN UN ZIP CONTENIENDO FICHERO .wsf
A través de otras formas de como llegan las variantes del ransowmare ZEPTO es a través de un .js o .wsf, cuya ejecución descarga, descifra e instala uno de los ransomwares mas prolíficos actualmente, el sucesor del Locky, que añade .zepto a los ficheros cifrados. El preanalisis de virustotal ofrece el siguiente informe: MD5 3eff9046c145109c75bb188efe5c29a0 […]
Leer el resto de esta entrada »
Publicado el 13 septiembre 2016 ¬ 16:38 pmh.mscComentarios desactivados en UN ZEPTO ATIPICO QUE SE DESCARGA AL EJECUTAR UN FICHERO SVCHOST.EXE QUE LLEGA ANEXADO A UN MAIL
La excepción que confirma la regla: Un SVCHOST.EXE anexado a un mail, descarga e instala un ransomware ZEPTO A partir de la versión 35.20 del ELISTARA pasamos a controlar tanto el downloader indicado como el fichero descargado, a saber, un SVCHOST.EXE y un baf9e357.dll Los preanalisis de virustotal de ambos ficheros ofrecen los siguiente informes: […]
Leer el resto de esta entrada »
Publicado el 13 septiembre 2016 ¬ 10:31 amh.mscComentarios desactivados en NUEVAS VARIANTES DE RANSOMWARE ZEPTO, DERIVADO DEL ANTERIOR LOCKY
Recibidos en mails anexando ficheros .js o .wsf que descargan e instalan DLL tras cuya ejecución codifican los ficheros de datos de unidades compartidas, añadiendo .ZEPTO a su extensión, pasamos a controlar dos nuevas variantes a partir del ELISTARA 35.20 de hoy El preanalisis de virustotal de dicha nuevas variantes ofrecen los siguientes informes: MD5 […]
Leer el resto de esta entrada »
Publicado el 8 septiembre 2016 ¬ 16:53 pmh.mscComentarios desactivados en NUEVA VARIANTE DE RANSOMWARE ZEPTO CUYA DLL DESCARGADA POR EL JS NO ES DESCIFRADA AUTOMATICAMENTE (LA HEMOS DESCIFRADO MANUALMENTE MUY FACILMENTE)
Visto que cientos de ZEPTO que descarga el .js que contienen los ZIP anexados a los mail en cuestión, no son operativos, hemos analizado el contenido de dichos .js y visto que están cifrados con un XOR muy simple, que por error (y afortunadamente) el descifrador no funciona en la descarga del NEMUCOD o similar que […]
Leer el resto de esta entrada »
Publicado el 8 septiembre 2016 ¬ 10:36 amh.mscComentarios desactivados en NUEVA VARIANTE DE RANSOMWARE ZEPTO (SUCESOR DEL LOCKY) QUE LLEGA EN .WSF
A pesar de que algunos ZEPTO tienen un problema en el script de lanzamiento que hace que (afortunadamente) no logre su instalación, otros cuyo ZIP contiene un downloader .wsf , sí que logran su objetivo, descargando una DLL que cifra los ficheros añadiendoles la extensión ZEPTO. El preanalisis del .wsf que contiene el ZIP anexado […]
Leer el resto de esta entrada »