comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware "con" CriptoWall

  • 11 Respuestas
  • 5251 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1910
  • Actividad:
    20%
  • Reputación 15
    • Ver Perfil
« en: Mayo 26, 2014, 07:07:45 am »
Hola a todos Underc0ders, el otro día estaba navegando por internet cuando encontré otro de los millones de ficheros curiosos que hay.

No pude analizarlo al 100% pero me llamó bastante la atención su funcionalidad, aquí os dejo lo poco que descubrí:

Este es el archivo en cuestión y sus propiedades:


Y estos los movimientos que realiza al ejecutarse:


Justo después de ejecutarlo se inician automáticamente 2 notepads y se inicia el mozilla firefox.




Si visitaba la url que nos decía, nos contaba que teníamos que pagar 500$ para que los archivos volviesen a su normalidad. Además si no pagabas en 12Horas (creo recordar) ese precio iría subiendo exponencialmente....

Por lo que decidí ejecutar Wireshark y ver si hacía alguna conexión de algún tipo y a donde.

Dominio e Ip involucrados:
dominikanabestplace.com
199.188.206.202

Estas direcciones, estaban y están caídas.

Por lo que... realmente el malware hacía lo que verdaderamente dice? A mi personalmente no me bloqueó ningún archivo, así que con los resultados obtenidos, pienso que realmente no hacía nada, tan solo provocar a que la víctima pagase...

Cabe mencionar de que se ejecutó en un entorno controlado.

Un saludo.

Blackdrake
« Última modificación: Mayo 26, 2014, 09:28:54 am por blackdrake »



Conectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 394
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #1 en: Mayo 26, 2014, 09:07:40 am »
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

No tienes permisos para ver links. Registrate o Entra con tu cuenta


Saludos

Gn0m3

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1910
  • Actividad:
    20%
  • Reputación 15
    • Ver Perfil
« Respuesta #2 en: Mayo 26, 2014, 05:36:40 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

No tienes permisos para ver links. Registrate o Entra con tu cuenta


Saludos

Gn0m3

Muchas gracias por el articulo, no conocía ningún caso de importancia provocado por este tipo de malware.

Un saludo ^^



Desconectado alkage

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #3 en: Mayo 26, 2014, 11:21:16 pm »
Interesante analisis. Y en cuanto a la noticia me parece raro que un hacker 'yanki' entre a un servidor de una 'empresita' de aqui.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5375
  • Actividad:
    73.33%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Mayo 27, 2014, 10:38:26 am »
En realidad no es mas que un metodo de pharming..


Conectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 394
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #5 en: Mayo 27, 2014, 02:25:31 pm »
No pasa solo en Argentina:
No tienes permisos para ver links. Registrate o Entra con tu cuenta

No importa el país que sea el objetivo de la persona o personas es obtener dinero...

Saludos.

Gn0m3

Desconectado Pr0ph3t

  • *
  • Underc0der
  • Mensajes: 443
  • Actividad:
    0%
  • Reputación 0
  • © Underc0de Team
    • Ver Perfil
  • Skype: thebrowfc
« Respuesta #6 en: Junio 13, 2014, 04:11:47 pm »
Grande blackdrake, veo que sigues dándole al análisis de malware :D
Twitter: @The_Pr0ph3t
pr0ph3t@hotmail.es

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1910
  • Actividad:
    20%
  • Reputación 15
    • Ver Perfil
« Respuesta #7 en: Junio 13, 2014, 06:12:06 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Grande blackdrake, veo que sigues dándole al análisis de malware :D

Contigo quería hablar jajaja, hablame por whats!!

Enviado desde BlackMovil5




Desconectado Yukth

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Agosto 19, 2014, 04:17:56 am »
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1910
  • Actividad:
    20%
  • Reputación 15
    • Ver Perfil
« Respuesta #9 en: Agosto 19, 2014, 05:16:12 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Si te refieres a este:



Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.



Desconectado cnfs

  • *
  • Underc0der
  • Mensajes: 103
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
    • shad0whack
    • Email
  • Twitter: https://twitter.com/cmind33
« Respuesta #10 en: Enero 27, 2015, 05:38:36 pm »
Estos ransomware estan avanzando y realmente molestando a muchos infectados en el mundo.. Sin dudas uno similar a ese Cryptowall es con el que me toco analizar el mes pasado el CTB-Locker, son bastantes similares aunque este ultimo aplica un cifrado por curva eliptica, realmente complejo.. (bitcoins utiliza este mecanismo..) y son un dolor de cabeza sino tienen backups de los archivos.
Security Researcher / Reverse Engineer
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 221
  • Actividad:
    15%
  • Reputación 0
  • Vivir sin sueño no es vivir.
    • Ver Perfil
« Respuesta #11 en: Junio 16, 2018, 03:09:02 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Si te refieres a este:



Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.

puedes colocar para descargarlo ?

 

¿Te gustó el post? COMPARTILO!



Faking network para Análisis Dinámico de Malware.

Iniciado por cnfs

Respuestas: 3
Vistas: 2217
Último mensaje Enero 30, 2015, 02:32:23 pm
por cnfs
Antiguo malware: FACELIKER. Nuevamente operativo en FaceBook

Iniciado por Gabriela

Respuestas: 0
Vistas: 1127
Último mensaje Septiembre 28, 2017, 03:36:18 pm
por Gabriela
Tutoriales de análisis de malware: un enfoque de ingeniería inversa

Iniciado por Jean Grey

Respuestas: 0
Vistas: 897
Último mensaje Diciembre 13, 2017, 05:18:08 pm
por Jean Grey
theZoo - Repositorio de malware para análisis e investigación

Iniciado por ANTRAX

Respuestas: 5
Vistas: 1695
Último mensaje Febrero 19, 2018, 08:34:57 pm
por Lautaro Culic'
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 1939
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's