Se está recibiendo masivamente una falsa factura de ENDESA que ofrece un enlace que descarga un ZIP que contiene un JS y este instala y ejecuta un EXE con el ransomware CRYPTOLOCKER
Es similar al que hemos sufrido hasta ahora con el falso mail de CORREOS, y que a tantos usuarios ha afectado, ahora nos tememos que será mas de lo mismo, a pesar de este aviso y de que hasta ENDESA está avisando al respecto.
El mail que se recibe es del siguiente tipo:
Al pulsar en la descarga, nos ofrece guardar la falsa factura (ENDESA_FACTURA.zip) en formato zip:
Este fichero zip lleva un JS que descarga y ejecuta el Cryptolocker
Es muy importante NO PULSAR EN SUS ENLACES para evitar instalar dicha variante del CRYPTOLOCKER
Desde el ELISTARA 34.65 de ayer ya controlamos variantes de este Cryptolocker, si bien vemos que están cambiando continuamente su código y que nuevas variantes habrán de ir siendo controladas a medida que las vayamos conociendo.
MUCHO CUIDADO YA QUE NOS TEMEMOS PROVOQUE LA INFECCION Y CIFRADO DE MUCHOS ORDENADORES A PESAR DE QUE VAYAMOS CONTROLANDO LOS QUE VAYAN APARECIENDO.
Ofrecemos informe del preanálisis de VIRUSTOTAL sobre una de las muestras actuales de dicho Cryptolocker de “ENDESA”
MD5 ec11c3a1be57b62e7fbede4b01b79836
SHA1 86e4d0d1f3e789ebed5f224dfa553c39e6c1243d
Tamaño del fichero 353.7 KB ( 362189 bytes )
SHA256: 3838e4d078bc3d1c9dcb436d03109c1c6f385ff0d8edf03634e42cc08255636c
Nombre: ikazykab.exe
Detecciones: 4 / 57
Fecha de análisis: 2016-05-31 08:12:47 UTC ( hace 3 minutos )
Antivirus Resultado Actualización
Baidu Win32.Trojan.WisdomEyes.151026.9950.9994 20160530
Kaspersky UDS:DangerousObject.Multi.Generic 20160531
McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20160530
Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20160531
Como se ve actualmente lo controlan muy pocos antivirus, solo 4 de los 57 de virustotal, debido a la novedad del mismo y a los continuos cambios de las variantes que van implementando en el servidor desde donde descargan el ZIP con el JS que instala el EXE con el CRYPTOLOCKER
Es importante recordar que, de sufrir el ataque de esta familia del CRYPTOLOCKER, cifra los ficheros de datos de las unidades compartidas, y que el virus queda en el ordenador donde se ha ejecutado el enlace contenido en el dichoso mail, queda infectado lanzando otra vez el virus cuando se reinicia, por lo que ANTES DE RESTAURAR LAS COPIAS DE SEGURIDAD debe eliminarse el virus del ordenador infectado.
Para ello probar la última versión de ELISTARA disponible en el ordenador infectado, y si no lo detecta, lanzar el SPROCES y pulsar el botón SALIR, lo cual generara un informe en C:\SPROCLOG.TXT que podrán enviarnos indicando que han sufrido dicho ataque, para que busquemos el fichero causante y su clave de lanzamiento, para pedir que nos lo envíen como muestra a analizar, además de aparcarlo añadiendo .VIR a su extensión.
Ya con el ELISTARA 34.65 de ayer empezamos a controlar las primeras variantes, por lo que aconsejamos probarlo, mientras no se disponga de una versión superior.
El nuevo ELISTARA 34.66 de hoy, estará disponible a partir de las 18 h CEST, en el que incluiremos el control de todas las variantes que recibamos durante el día.
Aconsejamos que lean el siguiente artículo sobre los Ransomwares:
https://www.satinfo.es/blog/2015/62372/
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 31 de Mayo de 2016