send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware "con" CriptoWall

  • 10 Respuestas
  • 4100 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« en: Mayo 26, 2014, 07:07:45 am »
Hola a todos Underc0ders, el otro día estaba navegando por internet cuando encontré otro de los millones de ficheros curiosos que hay.

No pude analizarlo al 100% pero me llamó bastante la atención su funcionalidad, aquí os dejo lo poco que descubrí:

Este es el archivo en cuestión y sus propiedades:


Y estos los movimientos que realiza al ejecutarse:


Justo después de ejecutarlo se inician automáticamente 2 notepads y se inicia el mozilla firefox.




Si visitaba la url que nos decía, nos contaba que teníamos que pagar 500$ para que los archivos volviesen a su normalidad. Además si no pagabas en 12Horas (creo recordar) ese precio iría subiendo exponencialmente....

Por lo que decidí ejecutar Wireshark y ver si hacía alguna conexión de algún tipo y a donde.

Dominio e Ip involucrados:
dominikanabestplace.com
199.188.206.202

Estas direcciones, estaban y están caídas.

Por lo que... realmente el malware hacía lo que verdaderamente dice? A mi personalmente no me bloqueó ningún archivo, así que con los resultados obtenidos, pienso que realmente no hacía nada, tan solo provocar a que la víctima pagase...

Cabe mencionar de que se ejecutó en un entorno controlado.

Un saludo.

Blackdrake
« Última modificación: Mayo 26, 2014, 09:28:54 am por blackdrake »



Desconectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 393
  • Actividad:
    8.33%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #1 en: Mayo 26, 2014, 09:07:40 am »
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

You are not allowed to view links. Register or Login


Saludos

Gn0m3

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #2 en: Mayo 26, 2014, 05:36:40 pm »
You are not allowed to view links. Register or Login
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.

Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.

You are not allowed to view links. Register or Login


Saludos

Gn0m3

Muchas gracias por el articulo, no conocía ningún caso de importancia provocado por este tipo de malware.

Un saludo ^^



Desconectado alkage

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #3 en: Mayo 26, 2014, 11:21:16 pm »
Interesante analisis. Y en cuanto a la noticia me parece raro que un hacker 'yanki' entre a un servidor de una 'empresita' de aqui.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5267
  • Actividad:
    48.33%
  • Reputación 26
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Mayo 27, 2014, 10:38:26 am »
En realidad no es mas que un metodo de pharming..


Desconectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 393
  • Actividad:
    8.33%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #5 en: Mayo 27, 2014, 02:25:31 pm »
No pasa solo en Argentina:
You are not allowed to view links. Register or Login

No importa el país que sea el objetivo de la persona o personas es obtener dinero...

Saludos.

Gn0m3

Desconectado Pr0ph3t

  • *
  • Underc0der
  • Mensajes: 443
  • Actividad:
    0%
  • Reputación 0
  • © Underc0de Team
    • Ver Perfil
  • Skype: thebrowfc
« Respuesta #6 en: Junio 13, 2014, 04:11:47 pm »
Grande blackdrake, veo que sigues dándole al análisis de malware :D
Twitter: @The_Pr0ph3t
pr0ph3t@hotmail.es

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #7 en: Junio 13, 2014, 06:12:06 pm »
You are not allowed to view links. Register or Login
Grande blackdrake, veo que sigues dándole al análisis de malware :D

Contigo quería hablar jajaja, hablame por whats!!

Enviado desde BlackMovil5




Desconectado Yukth

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Agosto 19, 2014, 04:17:56 am »
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1868
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #9 en: Agosto 19, 2014, 05:16:12 am »
You are not allowed to view links. Register or Login
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??

Si te refieres a este:



Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.



Desconectado cnfs

  • *
  • Underc0der
  • Mensajes: 103
  • Actividad:
    1.67%
  • Reputación 3
    • Ver Perfil
    • shad0whack
    • Email
  • Twitter: https://twitter.com/cmind33
« Respuesta #10 en: Enero 27, 2015, 05:38:36 pm »
Estos ransomware estan avanzando y realmente molestando a muchos infectados en el mundo.. Sin dudas uno similar a ese Cryptowall es con el que me toco analizar el mes pasado el CTB-Locker, son bastantes similares aunque este ultimo aplica un cifrado por curva eliptica, realmente complejo.. (bitcoins utiliza este mecanismo..) y son un dolor de cabeza sino tienen backups de los archivos.
Security Researcher / Reverse Engineer
You are not allowed to view links. Register or Login

 

¿Te gustó el post? COMPARTILO!



Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 1522
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
FlareVM - Maquina Virtual para analizar Malware

Iniciado por xyz

Respuestas: 1
Vistas: 475
Último mensaje Enero 07, 2018, 12:43:25 pm
por K A I L
Faking network para Análisis Dinámico de Malware.

Iniciado por cnfs

Respuestas: 3
Vistas: 1932
Último mensaje Enero 30, 2015, 02:32:23 pm
por cnfs
Antiguo malware: FACELIKER. Nuevamente operativo en FaceBook

Iniciado por Gabriela

Respuestas: 0
Vistas: 798
Último mensaje Septiembre 28, 2017, 03:36:18 pm
por Gabriela
Tutoriales de análisis de malware: un enfoque de ingeniería inversa

Iniciado por Jean Grey

Respuestas: 0
Vistas: 495
Último mensaje Diciembre 13, 2017, 05:18:08 pm
por Jean Grey