help_outline
Ayudanos!
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware "con" CriptoWall

  • 11 Respuestas
  • 6149 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1915
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« en: Mayo 26, 2014, 07:07:45 am »
Hola a todos Underc0ders, el otro día estaba navegando por internet cuando encontré otro de los millones de ficheros curiosos que hay.

No pude analizarlo al 100% pero me llamó bastante la atención su funcionalidad, aquí os dejo lo poco que descubrí:

Este es el archivo en cuestión y sus propiedades:


Y estos los movimientos que realiza al ejecutarse:


Justo después de ejecutarlo se inician automáticamente 2 notepads y se inicia el mozilla firefox.




Si visitaba la url que nos decía, nos contaba que teníamos que pagar 500$ para que los archivos volviesen a su normalidad. Además si no pagabas en 12Horas (creo recordar) ese precio iría subiendo exponencialmente....

Por lo que decidí ejecutar Wireshark y ver si hacía alguna conexión de algún tipo y a donde.

Dominio e Ip involucrados:
dominikanabestplace.com
199.188.206.202

Estas direcciones, estaban y están caídas.

Por lo que... realmente el malware hacía lo que verdaderamente dice? A mi personalmente no me bloqueó ningún archivo, así que con los resultados obtenidos, pienso que realmente no hacía nada, tan solo provocar a que la víctima pagase...

Cabe mencionar de que se ejecutó en un entorno controlado.

Un saludo.

Blackdrake
« Última modificación: Mayo 26, 2014, 09:28:54 am por blackdrake »



Desconectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 394
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #1 en: Mayo 26, 2014, 09:07:40 am »
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

lavoz.com.ar/node/978234


Saludos

Gn0m3

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1915
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #2 en: Mayo 26, 2014, 05:36:40 pm »
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

lavoz.com.ar/node/978234


Saludos

Gn0m3

Muchas gracias por el articulo, no conocía ningún caso de importancia provocado por este tipo de malware.

Un saludo ^^



Desconectado alkage

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #3 en: Mayo 26, 2014, 11:21:16 pm »
Interesante analisis. Y en cuanto a la noticia me parece raro que un hacker 'yanki' entre a un servidor de una 'empresita' de aqui.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5428
  • Actividad:
    35%
  • Reputación 33
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Mayo 27, 2014, 10:38:26 am »
En realidad no es mas que un metodo de pharming..


Desconectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 394
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #5 en: Mayo 27, 2014, 02:25:31 pm »
No pasa solo en Argentina:
http://news.ninemsn.com.au/national/2012/11/27/14/44/criminals-hold-aussie-computer-files-hostage

No importa el país que sea el objetivo de la persona o personas es obtener dinero...

Saludos.

Gn0m3

Desconectado Pr0ph3t

  • *
  • Underc0der
  • Mensajes: 443
  • Actividad:
    0%
  • Reputación 0
  • © Underc0de Team
    • Ver Perfil
  • Skype: thebrowfc
« Respuesta #6 en: Junio 13, 2014, 04:11:47 pm »
Grande blackdrake, veo que sigues dándole al análisis de malware :D
Twitter: @The_Pr0ph3t
pr0ph3t@hotmail.es

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1915
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #7 en: Junio 13, 2014, 06:12:06 pm »
Grande blackdrake, veo que sigues dándole al análisis de malware :D

Contigo quería hablar jajaja, hablame por whats!!

Enviado desde BlackMovil5




Desconectado Yukth

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Agosto 19, 2014, 04:17:56 am »
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1915
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #9 en: Agosto 19, 2014, 05:16:12 am »
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Si te refieres a este:



Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.



Desconectado cnfs

  • *
  • Underc0der
  • Mensajes: 103
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
    • shad0whack
    • Email
  • Twitter: https://twitter.com/cmind33
« Respuesta #10 en: Enero 27, 2015, 05:38:36 pm »
Estos ransomware estan avanzando y realmente molestando a muchos infectados en el mundo.. Sin dudas uno similar a ese Cryptowall es con el que me toco analizar el mes pasado el CTB-Locker, son bastantes similares aunque este ultimo aplica un cifrado por curva eliptica, realmente complejo.. (bitcoins utiliza este mecanismo..) y son un dolor de cabeza sino tienen backups de los archivos.
Security Researcher / Reverse Engineer
https://shad0whack.blogspot.com

Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 240
  • Actividad:
    10%
  • Reputación 0
  • Vivir sin sueño no es vivir.
    • Ver Perfil
« Respuesta #11 en: Junio 16, 2018, 03:09:02 pm »
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Si te refieres a este:



Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.

puedes colocar para descargarlo ?

 

¿Te gustó el post? COMPARTILO!



theZoo - Repositorio de malware para análisis e investigación

Iniciado por ANTRAX

Respuestas: 5
Vistas: 2490
Último mensaje Febrero 19, 2018, 08:34:57 pm
por Lautaro Culic'
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 2216
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
FlareVM - Maquina Virtual para analizar Malware

Iniciado por xyz

Respuestas: 1
Vistas: 1616
Último mensaje Enero 07, 2018, 12:43:25 pm
por K A I L
Faking network para Análisis Dinámico de Malware.

Iniciado por cnfs

Respuestas: 3
Vistas: 2420
Último mensaje Enero 30, 2015, 02:32:23 pm
por cnfs
Antiguo malware: FACELIKER. Nuevamente operativo en FaceBook

Iniciado por Gabriela

Respuestas: 0
Vistas: 1697
Último mensaje Septiembre 28, 2017, 03:36:18 pm
por Gabriela