Hemos detectado un nuevo método utilizado para infectar con el Cryptolocker, se trata del típico mail con el asunto “la Factura”, “su factura”, etc., pero que en este caso adjunta un fichero zip el cual contiene un fichero xls con macros, en lugar de ser un enlace a un fichero del DROPBOX, como los de los últimos días.
Ya otras veces nos hemos encontrado con similares engendros, macros infectadas cuya ejecución instalan virus, pero conviene vigilar con este por ser un Cryptolocker y llegar en un mail con el pretexto del asunto FACTURA, tan propio de recibir normalmente otros.
Ya hemos enviado, tanto a McAfee como a Kaspersky, muestra de los dos ficheros, el XLS que contiene las macros maliciosas y el EXE generado por las mismas, para que añadan su control en las proximas versiones de sus antivirus.
El preanalisis de Virustotal sobre el EXE en cuestión ofrece el siguiente informe:
MD5 8edb33856495f64ad6d3cbd0d116b116
SHA1 8252ed2168660bd308e3c8c6302fded95d55dd02
Tamaño del fichero 338.9 KB ( 347050 bytes )
SHA256: a7ba84f3caebd6fc25d7e8d69378a8c030f9f0940a466ba404d6b273cd1c4080
Nombre: xcemdwow.exe
Detecciones: 10 / 60
Fecha de análisis: 2017-03-09 11:02:42 UTC
Con el actual ELISTARA 36.39 pasamos a controlar el EXE infectado en cuestión.
Ejemplos de estos mails recibidos son del siguiente tipo:
Ejemplo1
De: Marta Martin <emrullahacet@consultravel.com.tr]> (fijarse en el dominio, .tr, de Turquia, si los dominios son de procedencia de la cual no se tiene relación, evitar abrir los mails)
Para: “Destinatario”
Asunto: la Factura
Cuerpo del texto:
Hola “Destinatario”
Esta es tu factura.
Saludos,
Marta Martin
ANEXADO : 962170.zip (conteniendo fichero 940115.XLS con macros infectadas con Cryptolocker)
Ejemplo2
De: Adriana Munoz <Munoz20@xmail.es>
Para: “Destinatario”
Asunto: su factura
Cuerpo del texto:
Hola “Destinatario”
Información sobre la factura.
Saludos,
Adriana Munoz
ANEXADO : 508430.zip (conteniendo fichero 733282.xls con macros infectadas con Cryptolocker)
Tal como indicamos la versión de ELISTARA 36.39 que lo detecta y elimina ya está disponible en nuestra web
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMÁTICA 9 de Marzo de 2017