Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
mayo
(Total:
35
)
- Locker es el primer ransomware que espera instrucc...
- Madrid ya navega con los 1.000 Mbps de Fibra FAST!...
- El fiscal pide más de 5 años de cárcel para la cúp...
- Comparativa de 18 antivirus para Linux
- La herramienta de análisis IDA reinicia las claves...
- Denegar ejecución de programas a un usuario de Win...
- El 97% de los usuarios no es capaz de identificar ...
- Las API's de Windows más utilizadas por el malware
- Kali Linux presenta su contenedor Docker oficial b...
- Moose, el gusano que ataca routers basados en Linu...
- Rombertik: Un maestro de evasión de técnicas de an...
- Nuevo ransomware para Android también pide rescate...
- Obnoxious, otro miembro de Lizard Squad detenido e...
- Nuevo truco para bypassear UAC en Windows
- Google recomienda evitar el uso de la "Preguntas s...
- La NSA planeaba espiar a los usuarios teléfonos mó...
- Reporte trimestral Akamai ataques DDoS en 2015: SS...
- Presentación del Libro CiberCrimen de Mercè Molist
- Disco de recuperación de Windows 7 y 8
- Adolescente de 15 años quema un ordenador de su co...
- Nueva variante de TeslaCrypt permite chatear con l...
- Parche de Oracle para la vulnerabilidad Venom en l...
- Ofuscación de Macros maliciosas en Documentos Word
- Una extensión para Chrome permite ver los amigos o...
- Google cerrará el servicio PageSpeed el 3 de agosto
- Microsoft Powershell DSC ahora disponible para Linux
- Rombertik: malware que intenta escribir en el MBR ...
- Tarjeta controladora (PCB Printed Circuit Board) d...
- Office 2016 permitirá la edición de documentos en ...
- Bokken, interfaz gráfica (GUI) para Radare y pyew
- NoSuchApp para Android decubre apps que se conecta...
- CCN-CERT: Medidas de seguridad contra el Ransomware
- TeslaCrypt, una variante del ransomware CryptoLock...
- Introducción a los ataques DDoS basados en JavaScript
- Se cumplen 15 años del Virus I Love You
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
Locker es el primer ransomware que espera instrucciones para activarse
sábado, 30 de mayo de 2015
|
Publicado por
el-brujo
|
Editar entrada
El ransomware conocido como Locker tiene una característica que le permite permanecer en estado latente hasta que es activado por parte de los atacantes. Se estima que algunos de los ordenadores infectados se infectaron varios meses antes de que el ataque fue lanzado el lunes, 25 de mayo,
Locker es un ransomware muy parecido a CryptoLocker que cifra los documentos personales que se encuentran en el ordenador de la víctima utilizando la clave RSA-2048 (algoritmo de cifrado AES CBC de 256 bits). Locker continuación, muestra un mensaje para descifrar los datos en caso de pago de 0,1 BTC (alrededor de $ 25 USD) si se hace dentro de 96 horas, de lo contrario serán destruidos los datos.
Hay diferentes números de versión del software malicioso Locker: v1.7 Locker, Locker v5.52, v3.30 Locker, Locker v4.55, v4.81 Locker o Locker v2.60, sin embargo es el mismo ransomware solamente con diferentes números de versión .
Una vez activado el ransomware Locker cifra los archivos exigiendo un rescate de 0,1 Bitcoin por restaurar el acceso de los usuarios a los datos.
El componente dormido es una completa novedad.
El ransomware Locker es una infección de computadoras que se ejecuta silenciosamente en el ordenador de la víctima hasta que se activó el 25 de mayo de medianoche, hora local, en cuyo punto se convirtió en activo.
Una vez activo, que comenzará a cifrar los archivos de datos en el ordenador con lo que parece ser el cifrado RSA. El cifrado de los archivos de datos no va a cambiar la extensión del archivo. Por lo tanto, la única manera de determinar si el archivo está cifrado es tratando de abrirlo y vemos si el archivo está dañado o noes utilizable.
Después de que el ransomware Locker cifra sus datos se pone a borrar sus instantáneas de volumen para luego mostrar la interfaz Locker. Esta interfaz se titulará Locker y luego un número de versión al azar. Este número de versión no parece tener ningún significado. Algunos títulos son ejemplo v1.7 Locker, Taquilla v3.5.3, Locker V2.16 y Locker v5.52. Esta pantalla Locker le dará información sobre cómo pagar el rescate, su dirección bitcoin única para enviar el rescate a una lista de archivos cifrados, y una página para comprobar el estado de su pago.
Cabe señalar que esta infección sólo borra las instantáneas de volumen para la unidad C: \. Por lo tanto, si almacena los datos en otras unidades, puede utilizar las instantáneas de volumen para restaurar los datos. También hay informes de que la infección no siempre es capaz de borrar cualquier instantáneas de volumen, por lo que es seguro que se aconseja que al menos intenta restaurar sus archivos utilizando Shadow Explorer.
El ransomware tendrá también una advertencia de miedo en la parte inferior de la interfaz de casillero que indica:
Si usted decide pagar el rescate, que debe evitarse siempre que sea posible, una vez que el pago se ha confirmado la ransomware descargará la clave privada y descifrar automáticamente sus archivos.
Si usted planea pagar el rescate, entonces no debes limpiar el ordenador de la infección. Esto es porque una vez que se haga el pago y sea confirmado, el programa descargará la clave privada y usarla para descifrar los archivos. Si elimina el malware, entonces esto no será posible.
El proceso exacto de cómo se instala el ransomware Locker es actualmente desconocido. Lo que sí sabemos es que hay una serie de servicios de Windows que se utilizan para instalar Locker en el equipo y cifrar los archivos. En algún momento un gotero se instalará en la carpeta C: \ Windows \ System32 o C: \ Windows \ Syswow64 y utiliza un nombre de archivo aleatorio como twitslabiasends.exe. Este archivo se instala como un servicio y cuando comenzó creará el servicio Steg en C: \ Datos de programa \ Steg \ steg.exe. El servicio steg entonces instalar Tor en C: \ Datos de programa \ Tor y crear otro llamado servicio llamado LDR. El servicio LDR está asociado con el directorio C: \ ProgramData \ rkcl \ ldr.exe y en última instancia, poner en marcha el programa rkcl.exe que muestra la interfaz Locker.
El cliente TOR se utiliza para comunicarse con el servidor TOR Mando y Control ubicado en jmslfo4unv4qqdk3.onion.
Cuando se cifran los archivos de datos, los tipos de archivos conocidos que se dirige son:
Estos archivos estarán cifrados, pero no van a tener sus extensiones cambiadas. Como se determinan más extensiones, se añadiran a la lista.
Por último, la instalación también borrará todos instantáneas de volumen de modo que usted no puede utilizarlos para restaurar los archivos. El comando utilizado para eliminar las instantáneas de volumen es:
Durante el proceso de instalación, Locker comprobará si el ordenador es una máquina virtual VirtualBox o VMware y terminará el proceso si se detecta. También buscará los siguientes procesos y si se encuentran, finaliza el proceso de instalación:
En este punto, el ransomware Locker sólo apuntar instantáneas de volumen en la unidad C: \. Así que si hay instantáneas de volumen presentes en otras unidades, entonces puede ser posible utilizarlos para restaurar los archivos. Además, no es raro que estos tipos de infecciones a veces no pueda eliminar adecuadamente instantáneas de volumen, por lo que siempre es aconsejable tratar de restaurar a partir de ellos.
Por último, aunque rkcl.exe está ejecutando se sondeará continuamente www.blockchain.info para ver si el pago se ha hecho. Cuando se confirma que se hizo un pago se descargará la clave de descifrado privada y guardarlo en la carpeta C: \ Datos de programa \ rkcl \ priv.key archivo y luego descifrar los archivos.
A continuación se muestra la lista de archivos de datos que se crean Locker y almacenan en C: \ Datos de programa \ rkcl \:
data.aa0 - Este archivo contiene una lista de los archivos cifrados.
data.aa1 - propósito Desconocido
dirección bitcoin única La víctima - data.aa6
data.aa7 - Una clave RSA similar a:
data.aa8 - Contiene el número de versión de la interfaz gráfica Locker.
data.aa9 - La fecha del ransomware hizo activo
data.aa11 - propósito Desconocido
data.aa12 - propósito Desconocido
priv.key - Este archivo contiene la clave de descifrado privada que se puede utilizar para descifrar los archivos. Sólo aparece después de pagar el rescate.
A continuación se presentan las imágenes de la interfaz Locker ransomware:
Fuentes:
http://www.scmagazine.com/alert-warns-it-managers-of-locker-ransomware/article/416995/
http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/
Locker es un ransomware muy parecido a CryptoLocker que cifra los documentos personales que se encuentran en el ordenador de la víctima utilizando la clave RSA-2048 (algoritmo de cifrado AES CBC de 256 bits). Locker continuación, muestra un mensaje para descifrar los datos en caso de pago de 0,1 BTC (alrededor de $ 25 USD) si se hace dentro de 96 horas, de lo contrario serán destruidos los datos.
Hay diferentes números de versión del software malicioso Locker: v1.7 Locker, Locker v5.52, v3.30 Locker, Locker v4.55, v4.81 Locker o Locker v2.60, sin embargo es el mismo ransomware solamente con diferentes números de versión .
Una vez activado el ransomware Locker cifra los archivos exigiendo un rescate de 0,1 Bitcoin por restaurar el acceso de los usuarios a los datos.
El componente dormido es una completa novedad.
El ransomware Locker es una infección de computadoras que se ejecuta silenciosamente en el ordenador de la víctima hasta que se activó el 25 de mayo de medianoche, hora local, en cuyo punto se convirtió en activo.
Una vez activo, que comenzará a cifrar los archivos de datos en el ordenador con lo que parece ser el cifrado RSA. El cifrado de los archivos de datos no va a cambiar la extensión del archivo. Por lo tanto, la única manera de determinar si el archivo está cifrado es tratando de abrirlo y vemos si el archivo está dañado o noes utilizable.
Después de que el ransomware Locker cifra sus datos se pone a borrar sus instantáneas de volumen para luego mostrar la interfaz Locker. Esta interfaz se titulará Locker y luego un número de versión al azar. Este número de versión no parece tener ningún significado. Algunos títulos son ejemplo v1.7 Locker, Taquilla v3.5.3, Locker V2.16 y Locker v5.52. Esta pantalla Locker le dará información sobre cómo pagar el rescate, su dirección bitcoin única para enviar el rescate a una lista de archivos cifrados, y una página para comprobar el estado de su pago.
Cabe señalar que esta infección sólo borra las instantáneas de volumen para la unidad C: \. Por lo tanto, si almacena los datos en otras unidades, puede utilizar las instantáneas de volumen para restaurar los datos. También hay informes de que la infección no siempre es capaz de borrar cualquier instantáneas de volumen, por lo que es seguro que se aconseja que al menos intenta restaurar sus archivos utilizando Shadow Explorer.
El ransomware tendrá también una advertencia de miedo en la parte inferior de la interfaz de casillero que indica:
Advertencia cualquier intento de eliminar el daño o incluso investigar el software Locker conducirá a la destrucción inmediata de su clave privada en nuestro servidor!Por favor, no se preocupe acerca de este mensaje. Esto es sólo un método para que te asuste a la hora pagar el rescate.
Si usted decide pagar el rescate, que debe evitarse siempre que sea posible, una vez que el pago se ha confirmado la ransomware descargará la clave privada y descifrar automáticamente sus archivos.
Si usted planea pagar el rescate, entonces no debes limpiar el ordenador de la infección. Esto es porque una vez que se haga el pago y sea confirmado, el programa descargará la clave privada y usarla para descifrar los archivos. Si elimina el malware, entonces esto no será posible.
Detalles Técnicos de la infección
Información TécnicaEl proceso exacto de cómo se instala el ransomware Locker es actualmente desconocido. Lo que sí sabemos es que hay una serie de servicios de Windows que se utilizan para instalar Locker en el equipo y cifrar los archivos. En algún momento un gotero se instalará en la carpeta C: \ Windows \ System32 o C: \ Windows \ Syswow64 y utiliza un nombre de archivo aleatorio como twitslabiasends.exe. Este archivo se instala como un servicio y cuando comenzó creará el servicio Steg en C: \ Datos de programa \ Steg \ steg.exe. El servicio steg entonces instalar Tor en C: \ Datos de programa \ Tor y crear otro llamado servicio llamado LDR. El servicio LDR está asociado con el directorio C: \ ProgramData \ rkcl \ ldr.exe y en última instancia, poner en marcha el programa rkcl.exe que muestra la interfaz Locker.
El cliente TOR se utiliza para comunicarse con el servidor TOR Mando y Control ubicado en jmslfo4unv4qqdk3.onion.
Cuando se cifran los archivos de datos, los tipos de archivos conocidos que se dirige son:
3fr,accdb,ai,arw,bay,cdr,cer,cr2,crt,crw,dbf,dcr,der,dng,doc,docm,docx,dwg,dxf,dxg,eps,erf,indd,jpe,jpg,kdc,mdb,mdf,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,pef,pem,pfx,ppt,pptm,pptx,psd,pst,ptx,r3d,raf,raw,rtf,rw2,rwl,srf,srw,wb2,wpd,wps,xlk,xls,xlsb,xlsm,xlsx
Estos archivos estarán cifrados, pero no van a tener sus extensiones cambiadas. Como se determinan más extensiones, se añadiran a la lista.
Por último, la instalación también borrará todos instantáneas de volumen de modo que usted no puede utilizarlos para restaurar los archivos. El comando utilizado para eliminar las instantáneas de volumen es:
vssadmin.exe delete shadows /for=C: /all /quiet
Durante el proceso de instalación, Locker comprobará si el ordenador es una máquina virtual VirtualBox o VMware y terminará el proceso si se detecta. También buscará los siguientes procesos y si se encuentran, finaliza el proceso de instalación:
wireshark,fiddler,netmon,procexp,processhacker,anvir,cain,nwinvestigatorpe,uninstalltool,regshot,installwatch,inctrl5,installspy,systracer,whatchanged,trackwinstall
En este punto, el ransomware Locker sólo apuntar instantáneas de volumen en la unidad C: \. Así que si hay instantáneas de volumen presentes en otras unidades, entonces puede ser posible utilizarlos para restaurar los archivos. Además, no es raro que estos tipos de infecciones a veces no pueda eliminar adecuadamente instantáneas de volumen, por lo que siempre es aconsejable tratar de restaurar a partir de ellos.
Por último, aunque rkcl.exe está ejecutando se sondeará continuamente www.blockchain.info para ver si el pago se ha hecho. Cuando se confirma que se hizo un pago se descargará la clave de descifrado privada y guardarlo en la carpeta C: \ Datos de programa \ rkcl \ priv.key archivo y luego descifrar los archivos.
A continuación se muestra la lista de archivos de datos que se crean Locker y almacenan en C: \ Datos de programa \ rkcl \:
data.aa0 - Este archivo contiene una lista de los archivos cifrados.
data.aa1 - propósito Desconocido
dirección bitcoin única La víctima - data.aa6
data.aa7 - Una clave RSA similar a:
rvSUBZItCXDmeBBu01Imy811u41pOSTRDn9+6FpsEvXXfoBrcLgBd5ommgeT5jFRmY1/4vvsd+uXTUOG9FPBtbx1ySB9cv6/+5dU8v4SZTFIkCBIb5nXvYNzmm/lBB5OXOr6B8dkjyEr94LvUUg4B4XyFRjjjoXSUXX6ND0vbt1knN6/mBSIfkvv7XTlS5IBmbxB149t79mFcr9nu1tS9edI6s+sIUB14jFumf5xob1YG5UXOSntBDgkuIso+JXrXvB1ze4Bc7Ec1711Bmy7rfXScxpxXFb7rByZukBN5IomrY+9rTpyC4Df+pvJz/osBS0kSBS+BvIdETT/nKmIYm== ImIB
data.aa8 - Contiene el número de versión de la interfaz gráfica Locker.
data.aa9 - La fecha del ransomware hizo activo
data.aa11 - propósito Desconocido
data.aa12 - propósito Desconocido
priv.key - Este archivo contiene la clave de descifrado privada que se puede utilizar para descifrar los archivos. Sólo aparece después de pagar el rescate.
A continuación se presentan las imágenes de la interfaz Locker ransomware:
Fuentes:
http://www.scmagazine.com/alert-warns-it-managers-of-locker-ransomware/article/416995/
http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.