A partir del ELISTARA 35.75 de hoy, pasamos a controlar estas nuevas DLL que instalan variantes del ransomware LOCKY tipo zzzzz Sus hashes MD5 tienen los siguientes datos: “014F760CE9E91C2BAD40A675731B85AD” -> 4bl3yqszl.dll  149337 “337B70A80A8BA86A0F22DFABBB164CCE” -> 6v5r7thh.dll  180224 “C8AC6F144B855D8CDEE9636282CDAFB4” -> 7mo0pu9nzq.dll  149337 “E1E906E43F6DA08581AB5FDA2D774B7D” -> 7wxru3.dll  149337 “264AE6BA251FB4115113108ED6B376CE” -> cuju7oxfdu.dll  149337 “D76A736222F1CFB5D87B50D38A0A0C42” -> f7yes1g27p.dll  149337 “6D0B44F652DB2F67C895F39B4DC54061” -> k0eqq8.dll  […]

Otro mail que se está recibiendo con fichero anexado ZIP que contiene un .JS , descarga un fichero de extensión atípica .zk que se ejecuta con el RUNDLL32 e instala un ransomware LOCKY /zzzzz como tantos otros que vamos conociendo diariamente. El texto del mail es el siguiente:   MAIL MASIVO MALICIOSO _____________________ Asunto: Payment […]

Si bien hasta ahora eran .DLL la mayoría de ficheros que llegaban contenidos en los ZIP que anexcabam los emails maliciosos correspondientes, ayer ya empezaron a llegar y hoy aun mas, los ficheros directamente ejecutables los que descargan los .js y no les hace falta aplicar el RUNDLL32 ni indicar la función a ejecutar para […]

El fatídico LOCKY, actualmemte añade .zzzzz a la extensión de los ficheros cifrados, además de cambiarles el nombre, convirtiendo una imagen .JPG, por ejemplo, en un fichero de nombre variable y extensión zzzzz: 82EFB237-1498-3A47-0ECA-697B6FAD13BE.zzzzz eliminando las versiones anteriores del fichero, con lo que elimina la posibilidad de restaurarlo a partir del Shadow Copy que hubiera […]

Esta vez ha sido en un VBS (en lugar de los .JS que utilizan normalmente), el fichero utilizado para descargar e instalar el dichoso ransomware LOCKY que cifra la información de todos los ficheros de datos de las unidades compartidas con el ordenador donde se ejecuta el fichero de marras. Lo pasamos a controlar a […]

Se está recibiendo nuevo envio masivo de mail infector de LOCKY / ZZZZZ Una vez mas, la ejecución de los ficheros anexados a mails no solicitados pueden conllevar un disgusto…, en esta ocasión instalando una variante de ransomware LOCKY, que pasamos a controlar con ELISTARA 35.72 de hoy El texto del mail es el siguiente: […]

Al monitorizar nuevas muestras recibidas del ransomware de moda, que llegan por email anexadas en un ZIP que contiene un .JS, nos ha descargado un fichero .TDB en carpeta temporal que ejecuta con un RUNDLL32 indicando para ello una función, que en la monitorización de este caso hemos visto que utilizaba RXIT, con lo que […]

De otra serie de ransomwares Locky, de la variante zzzzz que está de moda actualmente, hemos escogido 25 ficheros para analizar y controlar. Vemos que tienen estos MD5:   MD5                                        NOMBRE FICHERO   TAMAÑO “EE78B430440A2B535112D860313B5234” -> 1l7zisxsqy.dll  285196 “8550AFBD2D6BC6FDC880F776BA0F25A8” -> 2hd0sxoga.dll  284172 “1F3E9D3716A9D0DF36967660BF327861” -> 3vn98emgio.dll  285196 “838082F2EDE8D22873A4857773797520” -> ad0pqg.dll  284684 “5B7ED1AD93E36CF92A4A24A6E78746F0” -> bumq1.dll  284172 “C7F6513CFE6F046B43BF3C28EF33CAFB” -> […]

Ofrecemos el MD5 de 20 ficheros, mayoria de las muestras que nos han llegado del LOCKY, aparte de algun que otro del AESIR, yque los pasamos a controlar todos a partir del ELISTARA 35.70 de hoy Dicho listado de MD5 es el siguiente: MD5             NOMBRE FICHERO- tamaño “3F80A2570391E90AF76AC6B9AAFD5605” -> 02otaburm3.dll  152123 “3398D458A22C659F39DB73442A0CC4DA” -> 1cim89hw02.dll  […]

Ya son bastantes las variantes del LOCKY que conocemos hasta hoy, a saber: Ransom.Locky, Zepto, Odin, Thor y Aesir  y ahora .zzzzz Aunque son mas de lo mismo, el ransomware LOCKY va cambiando el nombre del añadido que pone al final de las extensiones, y hoy nos ha sorprendido otro nombre que seguro que se […]