Email malicieux - Ransomware Locky

[Malekal_morte]

Les campagnes du Ransomware Locky en français reprennent avec des emails [email protected]
et sujet du mail :

Messagerie Vocale : nouveau message reçu le 25/052016 &agrave 11:05

Ransomware_Locky_email_malicieux_ncnumericable.com.png

Le JavaScript malicieux :

SHA256: 21a01c5de8b77b6bb13a61dbf9b11050f34f4620c9657dedffc2473ed80ab4bc
File name: 25052016_xRGjDj_26175.js
Detection ratio: 7 / 56
Analysis date: 2016-05-25 10:22:59 UTC ( 0 minutes ago )

Antivirus Result Update
Arcabit HEUR.JS.Trojan.b 20160525
Avira (no cloud) JS/Dldr.Locky.33346 20160525
NANO-Antivirus Trojan.Script.Nemucod.ebdqck 20160525
Qihoo-360 trojan.js.downloader.1 20160525
Rising Downloader.Ransomware!8.625A-xYRtCeaQ9UV (Cloud) 20160525
Sophos JS/DwnLdr-NMO 20160525
Tencent Js.Trojan.Raas.Auto 20160525

et le binaire Locky :

SHA256: 7cd33e8f6c699fe3b4fcf8d448767acb66eba6256bae774083277159a539b5c7
File name: ojxkyqnAsub.exe
Detection ratio: 3 / 56
Analysis date: 2016-05-25 10:26:02 UTC ( 0 minutes ago )

Antivirus Result Update
Baidu Win32.Trojan.WisdomEyes.151026.9950.9957 20160525
Qihoo-360 HEUR/QVM09.0.0000.Malware.Gen 20160525
Tencent Win32.Trojan.Raas.Auto 20160525

Le bon samaritain continue le remplacement du binaire malicieux

Virus_Alert_Locky.png

[Malekal_morte]

Les derniers emails malicieux Locky sont détectés Antivir en HEUR.Suspar.Gen.

Antivir_HEUR_SUSPAR.png

[Malekal_morte]

Des mails en français COPIE FACTURE + JUSTIFICATIFS sont passés aujourd'hui.

Locky_Dridex_Word_malicieux.png

Locky_Dridex_Word_malicieux_2.png

[Malekal_morte]

Aucune campagne Dridex & Locky cette semaine. Mais ... il semblerait que des envois soient effectués depuis le botnet Necurs. Necurs est un trojan avec des fonctionnalités de rootkit kernel-mode. Voir aussi : Supprimer Necurs

Certains pays asiatiques sont impactés. Effectivement, on trouve souvent des IP indiennes ou thaïlandaises dans les entêtes des courriels reçus.

necurs04.png

Liens connexes (ѠOOT):
→ https://www.proofpoint.com/us/threat-in ... stribution
→ http://www.malwaretech.com/2016/02/necu ... ecurs.html
→ https://www.cert.pl/en/news/single/necu ... am-botnet/
→ http://blog.talosintel.com/2016/09/the- ... -spam.html

[Malekal_morte]

Les spams Locky sont de retour. Rien de spécial au niveau du ransomware en lui même.

→ http://forum.malekal.com/javascript-nem ... 55403.html

Pour le moment les spams ne sont qu'en anglais :


Les liens de téléchargements et connexions au serveur de contrôle du ransomware :




Exemple de détection du binaire Locky :
SHA256: c92547f25f9d7b62d96371cd935fdb9f3a66acab65187ac793c007f164457092
Nom du fichier : 2vzUz0P6M.exe
Ratio de détection : 5 / 55
Date d'analyse : 2016-06-21 18:51:35 UTC (il y a 22 minutes) Voir les derniers

Informations comportementales
Antivirus Résultat Mise à jour
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160621
Bkav HW32.Packed.8C6D 20160621
Comodo TrojWare.Win32.FakeAV.HH 20160621
McAfee-GW-Edition BehavesLike.Win32.Ramnit.ch 20160621
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20160621

et un exemple de détection VirusTotal du JavaScript :
SHA256: 5620376e92cf71879cbaa4d9719ad089891af4dbd82e2e34a9f4de6592d471a0
Nom du fichier : addition-685.js
Ratio de détection : 1 / 55

Antivirus Résultat Mise à jour
Qihoo-360 virus.js.gen.80 20160621

[Malekal_morte]

Encore une vague aujourd'hui, ils sont déjà parmi nous :

[Malekal_morte]

Les campagnes Free Mobile pour pousser le du rançongiciel chiffreur de fichiers / Crypto-Ransomware Locky.

Soyez donc vigilant. Pensez à protéger vos Windows des exécutions accidentelles de scripts avec MARMITON.

Il s'agit ici de fichier Microsoft Word contenant une macro malicieux, rien de vraiment nouveaux puisque ces campagnes existent depuis l'année dernière avec Trojan Dridex.

Pour se protéger de ces emails malicieux :
Comment se protéger des scripts malicieux sur Windows

Exemple de ces emails free mobile malicieux :




Détection du document Office malicieux :

SHA256: 2ba5d6aeb2a5ee6ea9ee428728087e77c6828d7daa9b96002ff7dba596acb585
File name: Freemobile_3563591654}}_01-07-2016.docm
Detection ratio: 6 / 53
Analysis date: 2016-07-04 11:47:12 UTC ( 1 minute ago )

Antivirus Result Update
Arcabit HEUR.VBA.Trojan.d 20160704
Cyren PP97M/Downldr.AX.gen 20160704
F-Prot PP97M/Downldr.AX.gen 20160704
Ikarus Trojan-Downloader.VBA.Agent 20160704
Panda O97M/Downloader 20160704
Qihoo-360 virus.office.gen.60 20160704

Détection du binaire Locky :

SHA256: 0f3f32f5e9ef01c95c1e7c459fb1ddbaec9fe64382bab16893196e156ea8afad
File name: filarmon.exe
Detection ratio: 2 / 53
Analysis date: 2016-07-04 11:51:04 UTC ( 1 minute ago )

Antivirus Result Update
Kaspersky UDS:DangerousObject.Multi.Generic 20160704
Tencent Win32.Trojan.Inject.Auto 20160704

[Malekal_morte]

En cette fin d'été, les campagnes Locky / Zepto sont particulièrement virulentes.

Soyez vigilants !

Zepto_Ransomware_virus_email.png

Zepto_Ransomware_virus_email_2.png

Zepto_Ransomware_virus_email_3.png

[Malekal_morte]

Attention aux emails vérolés Free Haut débit

Sujet :

[Free] Notification de facture Freebox (92255341)

Bonjour,

Vous trouverez en pièce jointe votre facture Free Haut Débit.

Le total de votre facture est de 98.95 Euros.

Nous vous remercions de votre confiance.

L'équipe Free

Le scan VirusTotal :

SHA256: c23facdb56953fa3abd997a078e48f833a310c11ba1c5f14016961b9b78f575d
Nom du fichier : hGfHUHeC2.dll
Ratio de détection : 4 / 56
Date d'analyse : 2016-10-24 08:01:24 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9686 20161024
CrowdStrike Falcon (ML) malicious_confidence_66% (D) 20160725
Qihoo-360 HEUR/QVM30.1.0000.Malware.Gen 20161024
Tencent Win32.Trojan.Raasj.Auto 20161024

[Malekal_morte]

Les campagnes du ransomware Locky persistent.
A l'heure où sont écrites ces lignes, le ransomware Locky utilise l'extension .osiris

Exemple d'une vidéo, qui montre l'installation du ransomware locky depuis un fichier excel malicieux.
Le fichier Excel contient une macro malicieuse et est distribué par des campagnes d'emails malicieux.

[Malekal_morte]

Locky marque le pas depuis le début de l'année, l'activité est en baisse : L'activité du Ransomware Locky en baisse depuis Janvier 2017.

[Malekal_morte]

Un nouveau Locky utilisant les mêmes campagnes de distribution et assez similaire voit le jour, il s'agit du ransomware Jaff.
Voir la fiche du ransomware Jaff : Ransomware Jaff

[Malekal_morte]

Les campagnes d'emails malveillants pour le ransomware Jaff (Jaff Decryptor) sont à nouveaux assez virulentes.
Il s'agit pour la plupart de mail invoice.

Actuellement des PDF qui proposent d'ouvrir un fichier Word contenant une macro malveillante.
Celle-ci télécharge et exécute le dropper Jaff.

Ransomware-Jaff-Decryptor-mail-malveillant.png

Exemple de détection :

SHA256: 557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835
Nom du fichier : 557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835.exe
Ratio de détection : 26 / 60
Date d'analyse : 2017-05-24 03:38:43 UTC (il y a 1 heure, 59 minutes)

Informations comportementales
Antivirus Résultat Mise à jour
AegisLab Uds.Dangerousobject.Multi!c 20170524
AhnLab-V3 Win-Trojan/Sagecrypt.Gen 20170523
ALYac Trojan.Ransom.Jaff 20170524
Bkav W32.eHeur.Malware12 20170523
CrowdStrike Falcon (ML) malicious_confidence_98% (W) 20170130
DrWeb Trojan.Encoder.11649 20170524
ESET-NOD32 Win32/Filecoder.Jaff.A 20170523
Fortinet W32/Filecoder_Jaff.A!tr 20170524
GData Win32.Trojan.Agent.C5PYQ0 20170524
Ikarus Win32.Outbreak 20170523
Invincea virus.win32.virut.bn 20170519
Kaspersky Trojan-Ransom.Win32.Jaff.g 20170524
McAfee Trojan-FMTJ!0A03C3BDAE43 20170524
McAfee-GW-Edition BehavesLike.Win32.Injector.dh 20170523
Palo Alto Networks (Known Signatures) generic.ml 20170524
Qihoo-360 Win32/Trojan.Multi.daf 20170524
Rising Ransom.FileCryptor!8.1A7 (cloud:oB3GJRSIuJP) 20170524
SentinelOne (Static ML) static engine - malicious 20170516
Sophos Mal/Generic-S 20170524
Symantec Ransom.Locky 20170523
Tencent Win32.Trojan.Win32.Trojan.Filecoder.jaff.supy 20170524
TrendMicro Ransom_CRYPJAFF.ENI 20170524
TrendMicro-HouseCall Suspicious_GEN.F47V0523 20170524
ViRobot Trojan.Win32.Ransom.241664.C[h] 20170524
Webroot W32.Trojan.Gen 20170524
ZoneAlarm by Check Point Trojan-Ransom.Win32.Jaff.g 20170524

[Malekal_morte]

La campagne du ransomware Jaff continue à être très active avec des emails (IMG-, Receipt, Payement).
Le corps du mail n'est vraiment pas très évolué.
Seulement une pièce joitne en PDF.

SPAM-pdf-malicieux-Ransomware-Jaff.png

[Malekal_morte]

Les spams du ransomware Locky sont de retour et de plus en intense.
Différents sujets de mail :

PAYMENT
Voice Message Attached from 01555781103 - name unavailable

Les pièces jointes malveillants sont en .jar avec des fichiers .js ou .vbs

Mail-malveillant-spam-Locky-2.png

Mail-malveillant-spam-Locky-3.png

Mail-malveillant-spam-Locky-4.png

et depuis quelques jours, plus intense :

Mail-malveillant-spam-Locky-5.png

Mail-malveillant-spam-Locky.png

La détection d'un fichier VBS :

14 / 59

14 moteurs ont détecté ce fichier
SHA-256 a2ec2ea5a949875cd794ad8697c87c72024bfb63d34ad5d6032dccd7939bccab
Nom du fichier 013599730060286_6777541_606191.vbs
Taille du fichier 5.88 KB
Dernière analyse 2017-08-17 04:20:31 UTC

AegisLab
Troj.Downloader.Script!c
AhnLab-V3
VBS/Obfus.S1
Baidu
JS.Trojan-Downloader.Nemucod.yh
GData
Script.Trojan-Downloader.Nemucod.EW
Ikarus
Win32.Outbreak
Kaspersky
HEUR:Trojan-Downloader.Script.Generic
NANO-Antivirus
Trojan.Script.Vbs-heuristic.druvzi
Qihoo-360
virus.vbs.qexvmc.1085
Rising
Downloader.VBS/Agent!1.A85F (cloud:0SUvv8OmpCT)
Symantec
VBS.Downloader.B
Tencent
Js.Trojan.Raas.Auto
TrendMicro
JS_GEN.F299E00HG17
TrendMicro-HouseCall
Mal_VBSCRDLX
ZoneAlarm
HEUR:Trojan-Downloader.Script.Generic

et la détection de Locky qui est pris en Cerber :

38 moteurs ont détecté ce fichier
SHA-256 89b769aac22faff618eb51f3b7a5b1a81790018af53630fe65e57bdf7010e735
Nom du fichier yb8w7fg
Taille du fichier 607 KB
Dernière analyse 2017-08-17 06:49:31 UTC
Évaluation de la communauté -108
Détection
Détails
Comportement
Communauté
4
Ad-Aware
Trojan.Ransom.CerberKD.12157876
AegisLab
Ransom.Cerber.Smaly0!c
AhnLab-V3
Trojan/Win32.Locky.C2091248
ALYac
Trojan.Ransom.LockyCrypt
Arcabit
Trojan.Ransom.CerberKD.DB983B4
Avast
Win32:Malware-gen
AVG
Win32:Malware-gen
Baidu
Win32.Trojan.WisdomEyes.16070401.9500.9628
BitDefender
Trojan.Ransom.CerberKD.12157876
CrowdStrike Falcon
malicious_confidence_100% (W)
Cylance
Unsafe
Cyren
W32/Ransom.JSUJ-1726
DrWeb
Trojan.Encoder.13570
Emsisoft
Trojan.Ransom.CerberKD.12157876 (B)
Endgame
malicious (high confidence)
ESET-NOD32
a variant of Win32/GenKryptik.ASMH
F-Prot
W32/Ransom.XF
F-Secure
Trojan.Ransom.CerberKD.12157876
Fortinet
W32/GenKryptik.APXF!tr
GData
Trojan.Ransom.CerberKD.12157876
Ikarus
Win32.Outbreak
K7GW
Trojan ( 0051499b1 )
Kaspersky
UDS:DangerousObject.Multi.Generic
Malwarebytes
Ransom.Locky
MAX
malware (ai score=99)
McAfee
RDN/Generic.hbg
McAfee-GW-Edition
BehavesLike.Win32.Expiro.jc
Palo Alto Networks
generic.ml
Rising
Malware.Undefined!8.C (cloud:pwNzYQcQmLJ)
SentinelOne
static engine - malicious
Sophos AV
Mal/Generic-S
Sophos ML
heuristic
Symantec
Ransom.CryptXXX
Tencent
Win32.Trojan.Raas.Auto
TrendMicro
Ransom_CERBER.SMALY0
TrendMicro-HouseCall
Ransom_CERBER.SMALY0
Webroot
W32.Trojan.Gen
ZoneAlarm
UDS:DangerousObject.Multi.Generic

Le ransomware Locky est passé avec l'extension .lukitus

Ransomware-Locky-lukitus.png