Hola a todos, hoy vamos a ver un tipo de variante de Malware conocida como Ransomware, si bien esto no es nada nuevo este tipo de Malwares podrian ser muy daniños, veremos con un ejemplo como funciona y como podemos desinfectarnos.
(http://i.imgur.com/TfOMEJd.jpg)
¿Qué es un Ransomware?[/B]
Cita de: Wikipedia
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Similares lo que hacen es bloquear el escritorio(muchas veces cambiandolo desde el editor registro) y mostrar en pantalla que simulan ser de alguna tipo de autoridad diciendo que se ha bloqueado el acceso al sistema por violacion de alguna ley, actividades ilegales, etc. Para luego pedir dinero a cambio de poder acceder al sistema.
(http://i.imgur.com/PY9vppQ.jpg)
Entre las modificaciones que generalmente hacen:
- Para evitar ser Eliminados, modifican valores en registro para que no se pueda iniciar en modo seguro(F8).
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
- Restringir el uso de herramienta utilies de Windows:
REGEDIT(Editor de Registros), TASKMGR(Administrador de Tareas), CMD()
- Tambien modificar el inicio("explorer.exe"):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Aqui podemos ver como es un Builder de este tipo de Malware:
(http://i.imgur.com/BrLjOUh.png)
Muchos se preguntarán: ¿Es posible desinfectarse?.
Depende del tipo de Variante de este Malware, podria llegar a solucionarse o no.
Hoy vamos a ver el comportamiento de una de estas variantes de Malware.
Aqui la muestra:
(http://i.imgur.com/0HWdeMT.png)
(http://i.imgur.com/GIhIXdi.png)
Actualmente es detectado segun VirusTotal => [45/52]
(http://i.imgur.com/Hqoxwsu.png)
(http://i.imgur.com/XGhGf05.png)
Decir que al intentar pasarlo por .Reflector se puede notar que esta empaquetado(SmartAssembly 6.6.3.41), podriamos intentar desempaquetarlo,para luego mediante Reversing obtener mucha más info(pero solo veremos que es lo que hace).
(http://i.imgur.com/N0gV9Ud.gif)
Lo siguiente que haremos será ejecutar en un entorno Controlado:
lo ejecutaré en mi VirtualBox, con WinXP(previamente hice un .backup de la Misma).
Vemos que despues de ejecutar nos muestra el siguiente mensaje.
(http://i.imgur.com/S6IPxw2.png)
(http://i.imgur.com/5vkXK2Q.png)
(http://i.imgur.com/k2wFt1i.png)
Para una Nueva extension, crea los siguientes Valores:
(http://i.imgur.com/WUSYpJP.png)
HKLM\SOFTWARE\Classes\.LOCKED\: "BQBDQKUSAWICLUB"
HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\: "LOCKED"
HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\DefaultIcon\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe,0"
HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\shell\open\command\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"
Autoinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"
(http://i.imgur.com/kFXg92g.png)
(http://i.imgur.com/i0Tsa0D.png)
y que comienza a cifrar todo los archivos con extensiones conocidas(Dumpeando el proceso tambien se puede observar las extensiones afectadas).
*.exe *.zip *.rar *.7z *.tar *.gzip *.jpg *.jpeg *.tif *.psd *.cdr *.dwg *.max *.bmp *.gif *.png *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.txt *.pdf *.djvu *.htm *.html *.mdb *.cer *.p12 *.pfx *.kwm *.pwm *.1cd *.md *.mdf *.dbf *.odt *.vob *.iso *.ifo *.csv *.torrent *.mov *.m2v *.3gp *.mpeg *.mpg *.flv *.avi *.mp4 *.wmv *.divx *.mkv *.mp3 *.wav *.flac *.ape *.wma *.ac3 *.epub *.eps *.ai *.pps *.pptm *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.dcr *.kdc *.p7b *.p7c *.raw *.cdr *.qbb *.indd *.qbw
Ademas cambia el modo como se abre los archivos.
(http://i.imgur.com/YvfXEoO.png)
Ficheros que se Crean
(http://i.imgur.com/3BIZGTs.png)
ya sabemos con funciona, ahora si las 2 preguntas mas importantes:
¿Cómo desinfectarse?.
Primero vamos a borrar todo rastro de este Malware, vamos a regedit y eliminamos el autoinicio, y tambien desde "Classes" para quitar la extension .LOCKED()
¿Comó Desbloquear los Archivos?
Pues gracias a Kasperky Labs (http://"http://www.kaspersky.com/"), que nos brinda herramientas gratuitas, utilizaremos una de ellas "xoristdecryptor" una herramienta bastante util que combate con este tipo de Malware's con la que se puede llegar a decifrar los ficheros. La pueden descargar desde:
http://support.kaspersky.com/sp/downloads/utils/ (http://support.kaspersky.com/sp/downloads/utils/)
(http://i.imgur.com/198iWcs.png)
(http://i.imgur.com/Qeqebog.png)
(http://i.imgur.com/nvbg666.png)
Y listo con esto ya tenemos de nuevo funcionando nuestro Sistema.
[I]Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar. [/I]
Recomendaciones:
- Mantener siempre un antivirus actualizado, si bien no siempre es efectivo esto nos podrá ayudar evitar posibles infecciones.
- Cualquier Fichero descargado de la Red( Keygen, crack o similares), en lo posible ejecutarlo en un entorno Controlado, Maquinas Virtuales(VBOX,VMWARE,ETC) o Sandbox(si bien no son 100% seguros pero esto podria llegar a minimizará el daño a tu PC).
Autor: Fudmario.
PD: "Si alguien decide llevar este tutorial a otros lados, se pide respetar el Autor y la Fuente de la misma".
Que gran aporte, se agradece fudmario, es muy útil para los que comienzan en este mundillo.
Un saludo.