lunes, 24 de octubre de 2016

URGENTE!!!!. Ransomware!!!!.

De manera urgente se informa de una nueva propagación de ransomware a través de los siguientes archivos:

Nombre:             ORDER_985.js  
MD5:                  756DBEC9003F1383854C54FD75D34733
VirusTotal:         11/49

Nombre:             EMAIL_20087.js
MD5:                  70A0E48D3EAAF218CE0F106E22574456
VirusTotal:         22/54

Nombre:             SHOP_30089.js
MD5:                  3384FC28C733626B62F80FAE43AF117E
VirusTotal:         18/53

Nombre:             SHOP_5689.js
MD5:                  76FC21CE41C534B94BEA7E1A7BCE327C
VirusTotal:         24/55

Nombre:             LOVE_6164.js
MD5:                  5C2B21A2FC369DE68910F949C59DAD7D
VirusTotal:         Sin datos

Estos archivos javascript son downloader. Las URLs desde donde descargan son:

www.injusticeil.top/user.php?f=<digito>.dat
www.importantxc.top/user.php?f=<digito>.dat
www.unnaturaldc.top/user.php?f==<digito>.dat

NOTA: El nombre del archivo ".dat" es un dígito, no se descartan otros posibles combinaciones.

Las cuales se encuentran activas, y permiten descargar dos ejecutables distintos:

Nombre:             Roaming.exe
MD5:                  8D54B0EA871C5536B236E658575CF809
VirusTotal:         7/56

Nombre:             Roaming.exe
MD5:                  0AFB7AEF27FCE860AD0E86AEDEBE45A9
VirusTotal:         Sin datos

Estos archivos una vez lanzados reportaran información hacía las siguientes URLs:

91.200.14.124/linuxsucks.php
185.102.136.77/linuxsucks.php
109.234.35.215/linuxsucks.php

Actualmente se encuentran activas todas las URLs.

ACTUALIZACIÓN

En la siguiente URL se informa se aporta más información sobre el mismo ransomware

http://blog.dynamoo.com/2016/10/malware-spam-fake-receipt-leads-to.html

ACTUALIZACIÓN del 25/10/2016

Nuevos archivos han sido detectados:

Nombre:             EURO_16851.js
Hash md5:          49D6D5061DF8AD438EC65CCD3ECF3D62
VirusTotal:         Sin datos

Nombre:             SHOP_7874.js
Hash md5:          79AC56F7DDEC84230865285D8B53FE21
VirusTotal:         3/55

Nombre:             SHOP_30971.js
Hash md5:          B7FAFF528AAE5072260CCE5E2B847052
VirusTotal:         4/54

Nombre:             ALERT_18376.js
Hash md5:          F5BB88DE35A093E333EE26DB1CE0AA70
VirusTotal:         Sin datos

Nombre:             ONLINE_20141.js
Hash md5:          166764A43A748323A6FAF1DDD640F8B4
VirusTotal:         Sin datos

Nombre:             ONLINE_21702.js
Hash md5:          504A6B3C1991E8F3022047DB766C0A8C
VirusTotal:         1/54

Nombre:             MONEY_14896.js
Hash md5:          264F8CA72B0C5322AD9016227809EDE6
VirusTotal:         Sin datos

Nombre:             INFO_2511.js
Hash md5:          9BBD90333BEC5D657E595E2F63A824DD
VirusTotal:         1/55

Nombre:             MONEY_3336.js
Hash md5:          72B990A33B8285746221B1EEE5C7E81B
VirusTotal:         Sin datos

Nombre:             EMAIL_14142.js
Hash md5:          6AE96DD0D97A06375AC39FDE9AF92B79
VirusTotal:         Sin datos

Nombre:             BALLANCE_16862.js
Hash md5:          0C1875601DAD18D7C45AA2AC9A1FC016 
VirusTotal:         2/55

Nombre:             ONLINE_5338.js
Hash md5:          5F236F391A762EB874F6026D23855932
VirusTotal:         Sin datos

Nuevos archivos  downloader. Las URLs desde donde descargan son:

vegetablecs.top/user.php?f=<digito>.dat
sonyserofa.top/user.php?f=<digito>.dat

NOTA: El nombre del archivo ".dat" es un digito, no se descartan otros posibles combinaciones.

Las cuales se encuentran activas, y permiten descargar el siguiente ejecutable:

Nombre:             Roaming.exe
MD5:                 EF3E66188F20CCCBF1FDD9B43B161CB8
VirusTotal:         Sin datos

Los nuevos C2C:

77.123.137.221/linuxsucks.php --- No se encuentra activa

mehksltbkd.info/linuxsucks.php (69.195.129.70) --- Se encuentra activa
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)