Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Ransomware: Análisis de Malware by fudmario

  • 1 Respuestas
  • 3405 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 197
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« en: Junio 29, 2014, 04:45:45 pm »

Hola a todos, hoy vamos a ver un tipo de variante de Malware conocida como Ransomware, si bien esto no es nada nuevo este tipo de Malwares podrian ser muy daniños, veremos con un ejemplo como funciona y como podemos desinfectarnos.



¿Qué es  un Ransomware?[/B]


Cita de: Wikipedia
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.


Similares  lo que hacen es bloquear el escritorio(muchas veces cambiandolo desde el editor registro)  y mostrar en pantalla que simulan ser de alguna tipo de autoridad diciendo que se ha bloqueado el acceso al sistema por violacion de alguna ley, actividades ilegales, etc. Para luego pedir  dinero a cambio de poder acceder al sistema.



Entre las modificaciones que generalmente hacen:


  • Para evitar ser Eliminados, modifican valores en registro para que no se pueda iniciar en modo seguro(F8).
Código: [Seleccionar]
   
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

  • Restringir el uso de herramienta utilies  de Windows:
Código: [Seleccionar]
REGEDIT(Editor de Registros), TASKMGR(Administrador de Tareas), CMD()
  • Tambien modificar el inicio("explorer.exe"):
Código: [Seleccionar]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


    Aqui podemos ver como es un Builder de este  tipo de Malware:



    Muchos se preguntarán: ¿Es posible desinfectarse?.

    Depende del tipo de Variante de este Malware, podria llegar a solucionarse o no.

    Hoy vamos a ver el comportamiento de una de estas variantes de Malware.

    Aqui la muestra:




    Actualmente es detectado segun VirusTotal => [45/52]




    Decir que al intentar pasarlo por .Reflector se puede notar que  esta empaquetado(SmartAssembly 6.6.3.41), podriamos intentar desempaquetarlo,para luego mediante Reversing obtener mucha más info(pero solo veremos que es lo que hace).



    Lo siguiente que haremos será ejecutar en un entorno Controlado:

    lo ejecutaré en mi VirtualBox, con WinXP(previamente hice un .backup de la Misma).



    Vemos que despues de ejecutar nos muestra el siguiente mensaje.










    Para una Nueva extension, crea los siguientes Valores:


    Código: [Seleccionar]
    HKLM\SOFTWARE\Classes\.LOCKED\: "BQBDQKUSAWICLUB"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\: "LOCKED"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\DefaultIcon\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe,0"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\shell\open\command\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"

    Autoinicio:

    Código: [Seleccionar]
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"





    y que comienza a cifrar todo los archivos con extensiones conocidas(Dumpeando el proceso tambien se puede observar las extensiones afectadas).

    Código: [Seleccionar]
    *.exe *.zip *.rar *.7z *.tar *.gzip *.jpg *.jpeg *.tif *.psd *.cdr *.dwg *.max *.bmp *.gif *.png *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.txt *.pdf *.djvu *.htm *.html *.mdb *.cer *.p12 *.pfx *.kwm *.pwm *.1cd *.md *.mdf *.dbf *.odt *.vob *.iso *.ifo *.csv *.torrent *.mov *.m2v *.3gp *.mpeg *.mpg *.flv *.avi *.mp4 *.wmv *.divx *.mkv *.mp3 *.wav *.flac *.ape *.wma *.ac3 *.epub *.eps *.ai *.pps *.pptm *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.dcr *.kdc *.p7b *.p7c *.raw *.cdr *.qbb *.indd *.qbw

    Ademas cambia el modo como se abre los archivos.



    Ficheros que se Crean


    ya sabemos con funciona, ahora si las 2 preguntas mas importantes:


    ¿Cómo desinfectarse?.

    Primero vamos a borrar todo rastro de este Malware, vamos a regedit y eliminamos el autoinicio, y tambien desde "Classes" para quitar la extension .LOCKED()

    ¿Comó Desbloquear los Archivos?


    Pues gracias a Kasperky Labs, que nos brinda herramientas gratuitas, utilizaremos una de ellas "xoristdecryptor" una herramienta bastante util que combate con este tipo de Malware's con la que se puede llegar a decifrar los ficheros. La pueden descargar desde:


     http://support.kaspersky.com/sp/downloads/utils/









    Y listo con esto ya tenemos de nuevo funcionando nuestro Sistema.


    Código: [Seleccionar]
    [I]Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar. [/I]
     

     Recomendaciones:

     
    •   Mantener siempre un antivirus actualizado, si bien no siempre es efectivo esto nos podrá ayudar evitar posibles infecciones.
    • Cualquier Fichero descargado de la Red( Keygen, crack o similares), en lo posible ejecutarlo en un entorno Controlado, Maquinas Virtuales(VBOX,VMWARE,ETC) o Sandbox(si bien no son 100% seguros pero esto podria llegar a minimizará el daño a tu PC).




    Autor: Fudmario.


    PD: "Si alguien decide llevar este tutorial a otros lados, se pide respetar el Autor y la Fuente de la misma".


    Desconectado blackdrake

    • *
    • Moderator
    • Mensajes: 1923
    • Actividad:
      3.33%
    • Reputación 15
      • Ver Perfil
    « Respuesta #1 en: Junio 29, 2014, 08:39:24 pm »
    Que gran aporte, se agradece fudmario, es muy útil para los que comienzan en este mundillo.

    Un saludo.



     

    ¿Te gustó el post? COMPARTILO!



    Malware se propaga mediante "etiquetas" en Facebook

    Iniciado por CodePunisher

    Respuestas: 8
    Vistas: 6411
    Último mensaje Julio 02, 2013, 01:31:35 pm
    por elshotta
    [WinLockLess] Protege tu inicio contra el Malware en Windows.

    Iniciado por Baku

    Respuestas: 7
    Vistas: 6205
    Último mensaje Octubre 23, 2014, 05:50:24 am
    por Gabriela
    Ocultar malware usando ataques de precarga de dll

    Iniciado por blackdrake

    Respuestas: 2
    Vistas: 3366
    Último mensaje Agosto 09, 2014, 10:20:30 pm
    por Baku
    Archivos CPL: mecanismo para propagar malware

    Iniciado por Gabriela

    Respuestas: 4
    Vistas: 4921
    Último mensaje Agosto 17, 2016, 02:54:49 pm
    por circunsxik
    Creacion de BOT MSN + Infeccion de Malware ING SOCIAL + Automatizado

    Iniciado por Cronos

    Respuestas: 9
    Vistas: 6163
    Último mensaje Octubre 26, 2012, 09:57:38 am
    por munter