Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon TeslaCrypt, una variante del ransomware CryptoLocker que si puede ser descifrado




Al contrario que el ransomware CryptoLocker, el TeslaCrypt si tiene solución gracias a que usa un cifrado simétrico (AES CBC 256) implementado en la función "EncryptWithCbcAes"






Una de las últimas variantes de CryptoLocker  se llama TeslaCrypt y parece ser un derivado del ransomware Cryptolocker original .Aunque dice estar usando un cifrado asimétrico RSA-2048 para cifrar archivos,  en realidad está haciendo uso de simétrica AES en su lugar. Talos fue capaz de desarrollar una herramienta que descifra los archivos cifrados por el ransomware TeslaCrypt.

Recordemos que el supuesto creador de CryptoLocker no es otro que el ruso de 31 años Evgeniy Bogachev, por el cual el FBI ofrece una recompensa de 3 millones de dólares sobre cualquier pista sobre su paradero.

Entre los archivos que los usuarios valoran altamente son los archivos de juegos de ordenador, como las partidas guardadas y las claves de activación de Steam. Esto hace que el ransomware sea muy eficaz en conseguir a los usuarios pagen el rescate. Esto significa que TeslaCrypt apunta muchos tipos diferentes de usuarios, incluidos los jugadores de PC. Al igual que las fotos irremplazables, un juego a salvar, que es el producto de innumerables horas de juego, es extremadamente valioso y difícil de reemplazar.

Entre los juegos afectados están:

  • RPG Maker
  • Call of Duty
  • Dragon Age
  • StarCraft
  • MineCraft
  • World of Warcraft
  • Diablo
  • Fallout 3
  • Half Life 2
  • Skyrim
  • Day Z
  • League of Legends
  • World of Tanks

Cryptowall y Cryptowall 2 han introducido "características" como técnicas anti-depuración avanzadas, sólo para que muchas de esas características que retiró en Cryptowall 3. El ransomware se está convirtiendo en un negocio muy lucrativo, lo que lleva a muchas variantes y campañas dirigidas a regiones localizadas incluso en sus propios idiomas específicos. Aunque es posible que estas múltiples variantes son patrocinados por el mismo actor amenaza, la conclusión más probable es que múltiples actores de amenazas están saltando en reclamar una porción de un mercado cada vez mayor ransomware.

La variante llamada TeslaCrypt se aprovecha de una vulnerabilidad en Adobe Flash Player (usada en el Angler Exploit Kit) y además secuestra partidas guardadas de juegos.



Este es el ransomware que codifica con un "simple"  Advanced Encryption Standard (AES)  AES 256, simétrico, (aunque en su POPUP indique que lo hace con RSA2048, la  información es que es una simple copia de la ventana del CRYPTOLOCKER),

En el caso de TeslaCrypt, los ficheros cifrados por él, son marcados por el añadido de la palabra “.ECC" (extensión), haciendo ver que son Elliptic Curve Cryptographic (ECC), aunque no es cierto.. Otra nueva variante llamada Alpha Crypt añade la extensión .EZZ a todos los ficheros.

Para prevenir infecciones desde páginas dañinas que emplean Web Exploit Kits así como ficheros ofimáticos dañinos que puedan llegar al equipo por medio de correo electrónico, redes sociales, etc., se recomienda mantener el software correctamente actualizado. El navegador, versiones antiguas de Java, Flash o Adobe Acrobat suelen ser algunas de las principales vías de infección en ataques de este tipo.

También se recomienda mostrar las extensiones para tipos de ficheros conocidos. Algunos ransomware como CryptoLocker o CryptoTorrent utilizan ficheros dañinos con doble extensión (.PDF.EXE) para ocultar su verdadera naturaleza. Si el sistema no muestra la extensión principal del fichero puede hacer creer al usuario que se trata de un fichero ofimático en lugar de un ejecutable.

Cifrado Simétrico (AES, DES, RC4)


El cifrado simétrico consiste en el uso de una misma llave para cifrar y descifrar el mensaje cifrado. El hecho de que exista un secreto compartido entre emisor y receptor constituye una vulnerabilidad que ha sido resuelta únicamente por el cifrado asimétrico.



Cifrado Asimétrico (RSA)


Con el cifrado asimétrico el problema del secreto compartido se resuelve: los mensajes se cifran con una clave pública, y sólo el receptor con su clave privada podrá descifrarlo. El "virus" CryptoLocker usa cifrado asimétrico.





Extensiones de fichero que cifra TeslaCrypt


.sql - .mp4 - .rar - .m4a - .wma - .avi - .wmv - .csv - .d3dbsp - .zip - .sie - .sum - .ibank - .t13 - .t12 - .qdf - .gdb - .tax - .pkpass - .bc6 - .bc7 - .bkp - .qic - .bkf - .sidn - .sidd - .mddata - .itl - .itdb - .icxs - .hvpl - .hplg - .hkdb - .mdbackup - .syncdb - .gho - .cas - .svg - .map - .wmo - .itm - .fos - .mov - .vdf - .ztmp - .sis - .sid - .ncf - .menu - .layout - .dmp - .blob - .esm - .vcf - .vtf - .dazip - .fpk - .mlx - .iwd - .vpk - .tor - .psk - .rim - .w3x - .fsh - .ntl - .arch00 - .lvl - .snx - .cfr - .vpp_pc - .lrf - .mcmeta - .vfs0 - .mpqge - .kdb - .db0 - .dba - .rofl - .hkx - .bar - .upk - .das - .iwi - .litemod - .asset - .forge - .ltx - .bsa - .apk - .re4 - .sav - .lbf - .slm - .bik - .epk - .rgss3a - .pak - .big - wallet - .wotreplay - .xxx - .desc - .m3u - .flv - .css - .png - .jpeg - .txt - .p7c - .p7b - .p12 - .pfx - .pem - .crt - .cer - .der - .x3f - .srw - .pef - .ptx - .r3d - .rw2 - .rwl - .raw - .raf - .orf - .nrw - .mrwref - .mef - .erf -.kdc - .dcr - .cr2 - .crw - .bay - .sr2 - .srf - .arw - .3fr - .dng - .jpe - .jpg - .cdr - .indd - .eps - .pdf - .pdd - .psd - .dbf - .mdf - .wb2 - .rtf - .wpd - .dxg - .dwg - .pst - .accdb - .mdb - .pptm - .pptx - .ppt - .xlk - .xlsb - .xlsm -.xlsx - .xls - .wps - .docm - .docx - .doc - .odb - .odc - .odm - .odp - .ods - .odt


La mayoría de las muestras TeslaCrypt utilizan COM + técnicas de evasión de sandbox. Por ejemplo, el gotero analizamos utiliza sencillo código de detección que verifica si la interfaz COM "URLReader2" se ha instalado correctamente en la lista de gráfico de filtro DirectShow: 


Los threads de TeslaCrypt hacen lo siguiente (entre otras muchas cosas)

  • Elimina todas las copias de volumen del sistema  (copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "Vssadmin.exe delete shadow/ all / quiet"
  • Abre el archivo "key.dat" y recuperar las claves de cifrado. Si no existe el archivo "key.dat", crear las claves y almacenarlas en forma encriptada en el archivo "key.dat".

La herramienta para descifrar los archivos (TeslaDecrypt)

 Talos ha creado una herramienta gratuita  de descifrado. Es una utilidad de línea de comandos. Se necesita el archivo "key.dat" para recuperar correctamente la llave maestra utilizada para el cifrado de archivos. Antes de que comience la ejecución, busca "key.dat" en su ubicación original (directorio de datos de aplicación del usuario), o en el directorio actual. Si no es capaz de encontrar y correctamente analizar el archivo "key.dat", se devuelve un error y sale.



Here is the list of command line options:
  • /help – Show the help message
  • /key – Manually specify the master key for the decryption (32 bytes/64 digits)
  • /keyfile – Specify the path of the “key.dat” file used to recover the master key.
  • /file – Decrypt an encrypted file
  • /dir – Decrypt all the “.ecc” files in the target directory and its subdirs
  • /scanEntirePc – Decrypt “.ecc” files on the entire computer
  • /KeepOriginal – Keep the original file(s) in the encryption process
  • /deleteTeslaCrypt – Automatically kill and delete the TeslaCrypt dropper (if found active in the target system)

Los links a a las herramientas son:

Ejecutable Exe para Windows.

Script Python

Fuentes:
http://blogs.cisco.com/security/talos/teslacrypt

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.