Esta variante, que ayer casi no la detectaba ningun AV, hoy, gracias a haberlo subirdo al virustotal que lo reparte a las casas antivirus, ya son 9 de 54 los que lo detectan, entre ellos McAfee Artemis (heuristicamente), siempre y cuando se tenga configurada la sensibilidad en ALTA
El mail malicioso presenta características parecidas al siguiente:
MAIL MALICIOSO:
_______________
Asunto: Factura id224588583
De: "Antonia" <info@icbcommerce.com>
Fecha: 15/10/2014 22:39
Para: undisclosed-recipients:;
Hola.
Querido consumidor le informamos de que no hemos recibido respuesta alguna a la factura que le hemos facilitado anteriormente , si por cualquier razÐÑn no la recibiÐÑ o no tuvo oportunidad de conocerla se la adjuntamos en el siguiente archivo.
http://<SITE MALICIOSO>/Compenso.zip?cstcRmBlOqVIsUNpYE
Gracias por su colaboraciÐÑn.
c.Velazquez, 56, Madrid, 22725, Espana
91-491-69-07
______________________
FIN DEL MAIL MALICIOSO
Si se pulsa en el enlace malicioso (LO CUAL NO DEBE HACERSE) se descarga el fichero malware, en este caso de nombre "Compenso.zip", que resulta ser un CRYPTOLOCKER , de los que cifran los datos de los ficheros da datos.
Como detalle, cabe indicar que aunque adopta un icono de PDF, y despues del nombre figura .PDF, tras 62 caracteres nulos aparece la extension real, que resulta ser un EXE, por lo que al pulsar doble click sobre el icono, realmente se ejecutará el EXE malicioso.
El preanalisis de virustotal ofrece el siguiente informe:
MD5 93cbe4ed3d46abe732a124a41e7147a2
SHA1 94a24be60d90479ce27f7787a86678472aabdc6e
Tamaño del fichero 446.5 KB ( 457216 bytes )
SHA256: 89e71eb0a6403725d2f95cb9e6506b8b139a6948a61dc1c5cfedf18648241ec4
Nombre: Compenso.Pdf_____________________________________________________...
Detecciones: 9 / 54
Fecha de análisis: 2014-10-16 07:50:01 UTC ( hace 0 minutos )
0 5
Antivirus Resultado Actualización
Baidu-International Trojan.Win32.Ransom.Ak 20141015
ByteHero Trojan.Malware.Obscu.Gen.006 20141016
Fortinet W32/Injector.MMTP!tr 20141016
Kaspersky Trojan-Ransom.Win32.Cryptolocker.cg 20141016
Malwarebytes Trojan.Zbot.CXgen 20141016
McAfee Artemis!93CBE4ED3D46 20141016
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.gh 20141015
TrendMicro HB_Ispi 20141016
TrendMicro-HouseCall HB_Ispi 20141016
Además lo pasamos a controlar a partir del ElistarA 30.81 de hoy, por si algun usuario se lo hubiera descargado pero no ejecutado, con lo cual se eliminaría la posibilidad de dicha ejecución.
Mucho cuidado con este ransomware, el cual ya conocemos sus indeseables efectos (codificado de todos los ficheros de datos)
Aparte de configurar la sensibilidad heuristica del VirusScan a nivel ALTO, se recuerda la conveniencia de disponer de copia de seguridad actualizada, fuera del ordenador.
y como siempre, SE RECUERDA UNA VEZ MAS:
"no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias."
saludos
ms, 16-10-2014
El mail malicioso presenta características parecidas al siguiente:
MAIL MALICIOSO:
_______________
Asunto: Factura id224588583
De: "Antonia" <info@icbcommerce.com>
Fecha: 15/10/2014 22:39
Para: undisclosed-recipients:;
Hola.
Querido consumidor le informamos de que no hemos recibido respuesta alguna a la factura que le hemos facilitado anteriormente , si por cualquier razÐÑn no la recibiÐÑ o no tuvo oportunidad de conocerla se la adjuntamos en el siguiente archivo.
http://<SITE MALICIOSO>/Compenso.zip?cstcRmBlOqVIsUNpYE
Gracias por su colaboraciÐÑn.
c.Velazquez, 56, Madrid, 22725, Espana
91-491-69-07
______________________
FIN DEL MAIL MALICIOSO
Si se pulsa en el enlace malicioso (LO CUAL NO DEBE HACERSE) se descarga el fichero malware, en este caso de nombre "Compenso.zip", que resulta ser un CRYPTOLOCKER , de los que cifran los datos de los ficheros da datos.
Como detalle, cabe indicar que aunque adopta un icono de PDF, y despues del nombre figura .PDF, tras 62 caracteres nulos aparece la extension real, que resulta ser un EXE, por lo que al pulsar doble click sobre el icono, realmente se ejecutará el EXE malicioso.
El preanalisis de virustotal ofrece el siguiente informe:
MD5 93cbe4ed3d46abe732a124a41e7147a2
SHA1 94a24be60d90479ce27f7787a86678472aabdc6e
Tamaño del fichero 446.5 KB ( 457216 bytes )
SHA256: 89e71eb0a6403725d2f95cb9e6506b8b139a6948a61dc1c5cfedf18648241ec4
Nombre: Compenso.Pdf_____________________________________________________...
Detecciones: 9 / 54
Fecha de análisis: 2014-10-16 07:50:01 UTC ( hace 0 minutos )
0 5
Antivirus Resultado Actualización
Baidu-International Trojan.Win32.Ransom.Ak 20141015
ByteHero Trojan.Malware.Obscu.Gen.006 20141016
Fortinet W32/Injector.MMTP!tr 20141016
Kaspersky Trojan-Ransom.Win32.Cryptolocker.cg 20141016
Malwarebytes Trojan.Zbot.CXgen 20141016
McAfee Artemis!93CBE4ED3D46 20141016
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.gh 20141015
TrendMicro HB_Ispi 20141016
TrendMicro-HouseCall HB_Ispi 20141016
Además lo pasamos a controlar a partir del ElistarA 30.81 de hoy, por si algun usuario se lo hubiera descargado pero no ejecutado, con lo cual se eliminaría la posibilidad de dicha ejecución.
Mucho cuidado con este ransomware, el cual ya conocemos sus indeseables efectos (codificado de todos los ficheros de datos)
Aparte de configurar la sensibilidad heuristica del VirusScan a nivel ALTO, se recuerda la conveniencia de disponer de copia de seguridad actualizada, fuera del ordenador.
y como siempre, SE RECUERDA UNA VEZ MAS:
"no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias."
saludos
ms, 16-10-2014