Estudio reveló un aumento en la campaña de spam de correo electrónico que transmite el ransomware GandCrab v2.1.
Estos correos electrónicos incluyen un archivo adjunto de JavaScript, que cuando se ejecuta, descarga una variante de Gandcrab v2.1 de la URL maliciosa, http [:] // 185.189.58.222/uh.exe.
Los spams de correo electrónico incluyen JavaScripts adjuntos ocultos dentro de los archivos con el formato de nombre "DOC [numero] .zip". Las muestras observadas en la investigación contenían los siguientes temas:
La nota de rescate enviada por el malware contiene un enlace a un sitio “Deep Web o Dark Web” que el usuario debe visitar utilizando un navegador TOR, que es un navegador diseñado para ejecutar descargas anónimas de Internet, con el fin de comprar un descifrador de archivos. La página muestra la información habitual de ransomware, como instrucciones adicionales y la cantidad de rescate inicial, que se duplicará después de un cierto tiempo.
GandCrab ransomware, puede causar daños irreversibles a un sistema infectado.
Recomendación
Elimine contenidos activos, por ejemplo, exe y javascript de los correos electrónicos.
Neutralizar documentos de Office y PDF eliminando macros, javascript, contenido inclinado, DDE, etc.
Es importante tener cuidado con los correos electrónicos no solicitados, especialmente aquellos con archivos adjuntos ejecutables.
Indicadores de Compromiso
Correos electrónicos
-193fa4b3c3d613aad618c700eb728740a76583314eac47c26101f870acacce8d
-4ebc543ae92434b44b4969176a84f365ae71e22f434b78b60185eb2f97388b19
-711802a21fffde6176e24e453279f805899a8a8e8acb1aa17cbbe939728cf77
Descargadores JS
-9898b8e0a8b1a6ba96b07bc01ecef716cf9c5280f5190467e5da449854e64b22-BAT / Agent.ALP! Tr
-d3120d04ed68b46249f9d27d0174840dc99b75eae338b46ed3d64fc7e386f1c - BAT / Agent.ALP! tr
-bf7e29484aebfa7be8877639ea16383d5c4025cbf359d5c2566c98f5e1fccea1 - BAT / Agent.ALP! tr
-GandCrab v2.1
-846ad2d7e1e133ae4bc2decbc22ae686a44cccaffbee15b4d9b23143f6aa8d3f - W32 / Kryptik.GFTZ! Tr
-a3e2a45504a3bcf9f96acabb601410e2250165c3d19f2580c50a15bf910f3d9f - W32 / Kryptik.GFTT! tr
-339d22b5e02c79cdaa355bb11b063645332d0a2fd43ae78af6577818c4078284- W32 / Kryptik.GFRY! Tr
Descargar URL
-hxxp: //185.189.58.222/uh.exe
C2
-ransomware.bit
-zonealarm.bit
Fuente: fortinet.com/blog