Ransomware: Análisis de Malware by fudmario

Iniciado por fudmario, Junio 29, 2014, 04:45:45 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Hola a todos, hoy vamos a ver un tipo de variante de Malware conocida como Ransomware, si bien esto no es nada nuevo este tipo de Malwares podrian ser muy daniños, veremos con un ejemplo como funciona y como podemos desinfectarnos.



¿Qué es  un Ransomware?[/B]


Cita de: Wikipedia
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.


Similares  lo que hacen es bloquear el escritorio(muchas veces cambiandolo desde el editor registro)  y mostrar en pantalla que simulan ser de alguna tipo de autoridad diciendo que se ha bloqueado el acceso al sistema por violacion de alguna ley, actividades ilegales, etc. Para luego pedir  dinero a cambio de poder acceder al sistema.



Entre las modificaciones que generalmente hacen:



  • Para evitar ser Eliminados, modifican valores en registro para que no se pueda iniciar en modo seguro(F8).

Código: php
    
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

  • Restringir el uso de herramienta utilies  de Windows:

    Código: php
    REGEDIT(Editor de Registros), TASKMGR(Administrador de Tareas), CMD()

  • Tambien modificar el inicio("explorer.exe"):


    Código: php
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon



    Aqui podemos ver como es un Builder de este  tipo de Malware:



    Muchos se preguntarán: ¿Es posible desinfectarse?.

    Depende del tipo de Variante de este Malware, podria llegar a solucionarse o no.

    Hoy vamos a ver el comportamiento de una de estas variantes de Malware.

    Aqui la muestra:




    Actualmente es detectado segun VirusTotal => [45/52]




    Decir que al intentar pasarlo por .Reflector se puede notar que  esta empaquetado(SmartAssembly 6.6.3.41), podriamos intentar desempaquetarlo,para luego mediante Reversing obtener mucha más info(pero solo veremos que es lo que hace).



    Lo siguiente que haremos será ejecutar en un entorno Controlado:

    lo ejecutaré en mi VirtualBox, con WinXP(previamente hice un .backup de la Misma).



    Vemos que despues de ejecutar nos muestra el siguiente mensaje.










    Para una Nueva extension, crea los siguientes Valores:


    Código: php

    HKLM\SOFTWARE\Classes\.LOCKED\: "BQBDQKUSAWICLUB"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\: "LOCKED"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\DefaultIcon\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe,0"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\shell\open\command\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"


    Autoinicio:

    Código: php

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"







    y que comienza a cifrar todo los archivos con extensiones conocidas(Dumpeando el proceso tambien se puede observar las extensiones afectadas).

    Código: php

    *.exe *.zip *.rar *.7z *.tar *.gzip *.jpg *.jpeg *.tif *.psd *.cdr *.dwg *.max *.bmp *.gif *.png *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.txt *.pdf *.djvu *.htm *.html *.mdb *.cer *.p12 *.pfx *.kwm *.pwm *.1cd *.md *.mdf *.dbf *.odt *.vob *.iso *.ifo *.csv *.torrent *.mov *.m2v *.3gp *.mpeg *.mpg *.flv *.avi *.mp4 *.wmv *.divx *.mkv *.mp3 *.wav *.flac *.ape *.wma *.ac3 *.epub *.eps *.ai *.pps *.pptm *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.dcr *.kdc *.p7b *.p7c *.raw *.cdr *.qbb *.indd *.qbw


    Ademas cambia el modo como se abre los archivos.



    Ficheros que se Crean


    ya sabemos con funciona, ahora si las 2 preguntas mas importantes:


    ¿Cómo desinfectarse?.

    Primero vamos a borrar todo rastro de este Malware, vamos a regedit y eliminamos el autoinicio, y tambien desde "Classes" para quitar la extension .LOCKED()

    ¿Comó Desbloquear los Archivos?


    Pues gracias a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que nos brinda herramientas gratuitas, utilizaremos una de ellas "xoristdecryptor" una herramienta bastante util que combate con este tipo de Malware's con la que se puede llegar a decifrar los ficheros. La pueden descargar desde:


    No tienes permitido ver los links. Registrarse o Entrar a mi cuenta









    Y listo con esto ya tenemos de nuevo funcionando nuestro Sistema.


    Código: php
    [I]Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar. [/I]




    Recomendaciones:



    •   Mantener siempre un antivirus actualizado, si bien no siempre es efectivo esto nos podrá ayudar evitar posibles infecciones.
    • Cualquier Fichero descargado de la Red( Keygen, crack o similares), en lo posible ejecutarlo en un entorno Controlado, Maquinas Virtuales(VBOX,VMWARE,ETC) o Sandbox(si bien no son 100% seguros pero esto podria llegar a minimizará el daño a tu PC).



    Autor: Fudmario.


    PD: "Si alguien decide llevar este tutorial a otros lados, se pide respetar el Autor y la Fuente de la misma".



Que gran aporte, se agradece fudmario, es muy útil para los que comienzan en este mundillo.

Un saludo.