{"id":2016,"date":"2017-03-09T16:28:54","date_gmt":"2017-03-09T15:28:54","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=2016"},"modified":"2017-03-09T16:29:07","modified_gmt":"2017-03-09T15:29:07","slug":"nuevo-metodo-utilizado-para-infectar-con-cryptolocker","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2017\/nuevo-metodo-utilizado-para-infectar-con-cryptolocker\/","title":{"rendered":"Nuevo m\u00e9todo utilizado para infectar con CRYPTOLOCKER"},"content":{"rendered":"

Hemos detectado un nuevo m\u00e9todo utilizado para infectar con el Cryptolocker, se trata del t\u00edpico mail con el asunto \u201cla Factura\u201d, \u201csu factura\u201d, etc., pero que en este caso adjunta un fichero zip el cual contiene un fichero xls con macros, en lugar de ser un enlace a un fichero del DROPBOX, como los de los \u00faltimos d\u00edas.<\/p>\n

Ya otras veces nos hemos encontrado con similares engendros, macros infectadas cuya ejecuci\u00f3n instalan virus, pero conviene vigilar con este por ser un Cryptolocker y llegar en un mail con el pretexto del asunto FACTURA, tan propio de recibir normalmente otros.<\/p>\n

Ya hemos enviado, tanto a McAfee como a Kaspersky, muestra de los dos ficheros, el XLS que contiene las macros maliciosas y el EXE generado por las mismas, para que a\u00f1adan su control en las proximas versiones de sus antivirus.<\/p>\n

El preanalisis de Virustotal sobre el EXE en cuesti\u00f3n ofrece el siguiente informe:<\/p>\n

MD5 8edb33856495f64ad6d3cbd0d116b116
\nSHA1 8252ed2168660bd308e3c8c6302fded95d55dd02
\nTama\u00f1o del fichero 338.9 KB ( 347050 bytes )
\nSHA256: a7ba84f3caebd6fc25d7e8d69378a8c030f9f0940a466ba404d6b273cd1c4080<\/i><\/p>\n

Nombre: xcemdwow.exe<\/i><\/p>\n

Detecciones: 10 \/ 60<\/i><\/p>\n

Fecha de an\u00e1lisis: 2017-03-09 11:02:42 UTC<\/i><\/p>\n

Con el actual ELISTARA 36.39 pasamos a controlar el EXE infectado en cuesti\u00f3n.<\/p>\n

Ejemplos de estos mails recibidos son del siguiente tipo:<\/p>\n

Ejemplo1<\/b><\/span><\/p>\n

De: Marta Martin <\/i><<\/i>emrullahacet@consultravel.com.tr]<\/i>><\/i> (<\/span>fijarse en el dominio, .tr, de Turquia, <\/span>si los dominios son de procedencia de la cual no <\/span>se tiene relaci\u00f3n, evitar abrir los mails<\/span>)<\/span><\/p>\n

Para: \u201cDestinatario\u201d<\/i><\/p>\n

Asunto: la Factura<\/i><\/p>\n

Cuerpo del texto:<\/p>\n

Hola \u201cDestinatario\u201d<\/i><\/p>\n

Esta es tu factura.<\/i><\/p>\n

Saludos,
\nMarta Martin<\/i><\/p>\n

ANEXADO : 962170.zip (conteniendo fichero 940115.XLS con macros infectadas con Cryptolocker)<\/i><\/p>\n

Ejemplo2<\/b><\/span><\/p>\n

De: Adriana Munoz <Munoz20@xmail.es><\/i><\/p>\n

Para: \u201cDestinatario\u201d<\/i><\/p>\n

Asunto: su factura<\/i><\/p>\n

Cuerpo del texto:<\/p>\n

Hola \u201cDestinatario\u201d<\/i><\/p>\n

Informaci\u00f3n sobre la factura.<\/i><\/p>\n

Saludos,
\nAdriana Munoz<\/i><\/p>\n

ANEXADO : 508430.zip<\/i> (conteniendo fichero <\/i>733282.xls<\/i> con macros infectadas con Cryptolocker)<\/i><\/p>\n

Tal como indicamos la versi\u00f3n de ELISTARA 36.39 que lo detecta y elimina ya est\u00e1 disponible en nuestra web<\/p>\n

 <\/p>\n


\nSATINFO<\/b><\/span><\/span><\/span>, <\/b><\/span><\/span>SERVICIO DE ASISTENCIA T\u00c9CNICA <\/b><\/span><\/span>INFORM\u00c1TICA<\/b><\/span><\/span> <\/b>9<\/b><\/span><\/span> de <\/b><\/span><\/span>Marzo<\/b><\/span><\/span> <\/b>de 201<\/b><\/span><\/span>7<\/b><\/span><\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Hemos detectado un nuevo m\u00e9todo utilizado para infectar con el Cryptolocker, se trata del t\u00edpico mail con el asunto \u201cla Factura\u201d, \u201csu factura\u201d, etc., pero que en este caso adjunta un fichero zip el cual contiene un fichero xls con macros, en lugar de ser un enlace a un fichero del DROPBOX, como los de […]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[936,891,892],"tags":[465,952,92,950,954,464,953],"class_list":["post-2016","post","type-post","status-publish","format-standard","hentry","category-936","category-otros","category-todos","tag-cryptolocker","tag-dropbox","tag-elistara","tag-factura","tag-macros","tag-ransomware","tag-xls","category-936-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/2016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=2016"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/2016\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=2016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=2016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=2016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}