Análisis sobre el Ransomware Petya y su creador.

Esta parte del análisis es de las más curiosas, ya que no solo tenemos la información de los metadatos de RTF y contamos también con los metadatos de los ficheros ZIP. En las versiones de WannaCry se utiliza un fichero ZIP para descargar el ransomware, y en él se almacena la fecha del último acceso con su propia zona horaria. Analizando las fechas del ZIP se puede concluir que:

    2017-04-27 17:25 (hora local del atacante): El atacante crea b.wnry, un fichero BMP en segundo plano y el r.wnry, que contiene el fichero "readme".

    2017-05-09 16:57: El atacante crea otro zip con herramientas para conectarse a la red Tor y negociar el rescate. Se descargaron en el sistema de archivos del atacante a las 16:57, 09/05/2017, hora local del atacante, y son empaquetados e introducidos en un nuevo zip, s.wnry.

    2017-05-10 01:16: El atacante crea en su sistema c.wnry, que contiene dominios onion de la red Tor y una cartera para bitcoins.

    2017-05-11 15:59: Crea r.wnry que contiene instrucciones de borrado.

    2017-05-11 16:47: Edita b.wnry.

    2017-05-11 20:11: Edita c.wnry de nuevo.

    2017-05-11 20:13: Introduce b.wnry en el zip y lo comprime con contraseña.

    2017-05-12 02:22: Añade los ficheros EXE: u.wnry y t.wnry. El atacante empaqueta y establece una contraseña. El payload de gusano está listo.

Teniendo en cuenta que cada vez que se infecta un equipo se accede al fichero ZIP para extraer el ransomware, y que las primeras infecciones fueron descubiertas en la zona de Tailandia sobre las UTC 00:00, entonces podemos asumir cuales serían las zonas GMT posibles, es decir, que dentro de ese mismo día fueran posteriores a la fecha de creación del ramsonware.

Fuente:

http://www.elladodelmal.com/2017/06/al-creador-de-wannacry-es-fan-de-messi.html

Por algo la Guardia Civil de España le dá medallas.


Yo me las compro en el chino de enfrente como aquel que dice...

Desde elevenpaths llevan tiempo trabajando en ese tipo de herramientas para descubrir a los creadores de malware desde los primeros compases de la infección...

No se si reir o llorar con ese analisis. No se cansan de hacer el ridiculo en eleven paths?

PD: el titulo esta mal @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Ridículo por que?

Citar¿Ridículo por que?

Ciertamente coincido con tu pregunta.

Cada uno tiene o es como es: acierta, se equivoca, se luce, yerra, como todo ser humano en la vida.
Es de mal gusto (para no decir cobarde) criticar a quien no está presente para defenderse.

Más allá de las simpatías o antipatías, que cada quien es muy libre de sentir, al César lo que es del César y a Dios lo que es de Dios.

Ya decía Napoleón que no pocas veces, la envidia (deporte nacional en España) revela un complejo de inferioridad.  Sin pensar que este sea el caso, porque no tengo elementos ni autoridad científica o moral para afirmar lo que no sé, a mi mente acudió la cita y ahí se quede.

Saludos

Gabriela

Coincido plenamente Gabriela, ademas que las opiniones son libres y pueden cambiar, antes de ver las charlas de Chema Alonso pensaba que solo era vaporware, pero luego vas a varias y ves que es un fuera de serie. Te puede gustar mas o menos su estilo comunicador (a mi no me va especialmente) pero consigue su objetivo de llegar y comunicar y transmitir su mensaje.