comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware "con" CriptoWall

  • 11 Respuestas
  • 5597 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« en: Mayo 26, 2014, 07:07:45 am »
Hola a todos Underc0ders, el otro día estaba navegando por internet cuando encontré otro de los millones de ficheros curiosos que hay.

No pude analizarlo al 100% pero me llamó bastante la atención su funcionalidad, aquí os dejo lo poco que descubrí:

Este es el archivo en cuestión y sus propiedades:


Y estos los movimientos que realiza al ejecutarse:


Justo después de ejecutarlo se inician automáticamente 2 notepads y se inicia el mozilla firefox.




Si visitaba la url que nos decía, nos contaba que teníamos que pagar 500$ para que los archivos volviesen a su normalidad. Además si no pagabas en 12Horas (creo recordar) ese precio iría subiendo exponencialmente....

Por lo que decidí ejecutar Wireshark y ver si hacía alguna conexión de algún tipo y a donde.

Dominio e Ip involucrados:
dominikanabestplace.com
199.188.206.202

Estas direcciones, estaban y están caídas.

Por lo que... realmente el malware hacía lo que verdaderamente dice? A mi personalmente no me bloqueó ningún archivo, así que con los resultados obtenidos, pienso que realmente no hacía nada, tan solo provocar a que la víctima pagase...

Cabe mencionar de que se ejecutó en un entorno controlado.

Un saludo.

Blackdrake
« Última modificación: Mayo 26, 2014, 09:28:54 am por blackdrake »



Desconectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 394
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #1 en: Mayo 26, 2014, 09:07:40 am »
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

No tienes permisos para ver links. Registrate o Entra con tu cuenta


Saludos

Gn0m3

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #2 en: Mayo 26, 2014, 05:36:40 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

No tienes permisos para ver links. Registrate o Entra con tu cuenta


Saludos

Gn0m3

Muchas gracias por el articulo, no conocía ningún caso de importancia provocado por este tipo de malware.

Un saludo ^^



Desconectado alkage

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #3 en: Mayo 26, 2014, 11:21:16 pm »
Interesante analisis. Y en cuanto a la noticia me parece raro que un hacker 'yanki' entre a un servidor de una 'empresita' de aqui.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5401
  • Actividad:
    38.33%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Mayo 27, 2014, 10:38:26 am »
En realidad no es mas que un metodo de pharming..


Desconectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 394
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #5 en: Mayo 27, 2014, 02:25:31 pm »
No pasa solo en Argentina:
No tienes permisos para ver links. Registrate o Entra con tu cuenta

No importa el país que sea el objetivo de la persona o personas es obtener dinero...

Saludos.

Gn0m3

Desconectado Pr0ph3t

  • *
  • Underc0der
  • Mensajes: 443
  • Actividad:
    0%
  • Reputación 0
  • © Underc0de Team
    • Ver Perfil
  • Skype: thebrowfc
« Respuesta #6 en: Junio 13, 2014, 04:11:47 pm »
Grande blackdrake, veo que sigues dándole al análisis de malware :D
Twitter: @The_Pr0ph3t
pr0ph3t@hotmail.es

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #7 en: Junio 13, 2014, 06:12:06 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Grande blackdrake, veo que sigues dándole al análisis de malware :D

Contigo quería hablar jajaja, hablame por whats!!

Enviado desde BlackMovil5




Desconectado Yukth

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Agosto 19, 2014, 04:17:56 am »
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #9 en: Agosto 19, 2014, 05:16:12 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Si te refieres a este:



Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.



Desconectado cnfs

  • *
  • Underc0der
  • Mensajes: 103
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
    • shad0whack
    • Email
  • Twitter: https://twitter.com/cmind33
« Respuesta #10 en: Enero 27, 2015, 05:38:36 pm »
Estos ransomware estan avanzando y realmente molestando a muchos infectados en el mundo.. Sin dudas uno similar a ese Cryptowall es con el que me toco analizar el mes pasado el CTB-Locker, son bastantes similares aunque este ultimo aplica un cifrado por curva eliptica, realmente complejo.. (bitcoins utiliza este mecanismo..) y son un dolor de cabeza sino tienen backups de los archivos.
Security Researcher / Reverse Engineer
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 234
  • Actividad:
    1.67%
  • Reputación 0
  • Vivir sin sueño no es vivir.
    • Ver Perfil
« Respuesta #11 en: Junio 16, 2018, 03:09:02 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Si te refieres a este:



Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.

puedes colocar para descargarlo ?

 

¿Te gustó el post? COMPARTILO!



Tutoriales de análisis de malware: un enfoque de ingeniería inversa

Iniciado por Jean Grey

Respuestas: 0
Vistas: 1152
Último mensaje Diciembre 13, 2017, 05:18:08 pm
por Jean Grey
theZoo - Repositorio de malware para análisis e investigación

Iniciado por ANTRAX

Respuestas: 5
Vistas: 2014
Último mensaje Febrero 19, 2018, 08:34:57 pm
por Lautaro Culic'
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 2079
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
FlareVM - Maquina Virtual para analizar Malware

Iniciado por xyz

Respuestas: 1
Vistas: 1179
Último mensaje Enero 07, 2018, 12:43:25 pm
por K A I L
Faking network para Análisis Dinámico de Malware.

Iniciado por cnfs

Respuestas: 3
Vistas: 2328
Último mensaje Enero 30, 2015, 02:32:23 pm
por cnfs