Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
mayo
(Total:
35
)
- Locker es el primer ransomware que espera instrucc...
- Madrid ya navega con los 1.000 Mbps de Fibra FAST!...
- El fiscal pide más de 5 años de cárcel para la cúp...
- Comparativa de 18 antivirus para Linux
- La herramienta de análisis IDA reinicia las claves...
- Denegar ejecución de programas a un usuario de Win...
- El 97% de los usuarios no es capaz de identificar ...
- Las API's de Windows más utilizadas por el malware
- Kali Linux presenta su contenedor Docker oficial b...
- Moose, el gusano que ataca routers basados en Linu...
- Rombertik: Un maestro de evasión de técnicas de an...
- Nuevo ransomware para Android también pide rescate...
- Obnoxious, otro miembro de Lizard Squad detenido e...
- Nuevo truco para bypassear UAC en Windows
- Google recomienda evitar el uso de la "Preguntas s...
- La NSA planeaba espiar a los usuarios teléfonos mó...
- Reporte trimestral Akamai ataques DDoS en 2015: SS...
- Presentación del Libro CiberCrimen de Mercè Molist
- Disco de recuperación de Windows 7 y 8
- Adolescente de 15 años quema un ordenador de su co...
- Nueva variante de TeslaCrypt permite chatear con l...
- Parche de Oracle para la vulnerabilidad Venom en l...
- Ofuscación de Macros maliciosas en Documentos Word
- Una extensión para Chrome permite ver los amigos o...
- Google cerrará el servicio PageSpeed el 3 de agosto
- Microsoft Powershell DSC ahora disponible para Linux
- Rombertik: malware que intenta escribir en el MBR ...
- Tarjeta controladora (PCB Printed Circuit Board) d...
- Office 2016 permitirá la edición de documentos en ...
- Bokken, interfaz gráfica (GUI) para Radare y pyew
- NoSuchApp para Android decubre apps que se conecta...
- CCN-CERT: Medidas de seguridad contra el Ransomware
- TeslaCrypt, una variante del ransomware CryptoLock...
- Introducción a los ataques DDoS basados en JavaScript
- Se cumplen 15 años del Virus I Love You
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
TeslaCrypt, una variante del ransomware CryptoLocker que si puede ser descifrado
martes, 5 de mayo de 2015
|
Publicado por
el-brujo
|
Editar entrada
Al contrario que el ransomware CryptoLocker, el TeslaCrypt si tiene solución gracias a que usa un cifrado simétrico (AES CBC 256) implementado en la función "EncryptWithCbcAes"
Una de las últimas variantes de CryptoLocker se llama TeslaCrypt y parece ser un derivado del ransomware Cryptolocker original .Aunque dice estar usando un cifrado asimétrico RSA-2048 para cifrar archivos, en realidad está haciendo uso de simétrica AES en su lugar. Talos fue capaz de desarrollar una herramienta que descifra los archivos cifrados por el ransomware TeslaCrypt.
Recordemos que el supuesto creador de CryptoLocker no es otro que el ruso de 31 años Evgeniy Bogachev, por el cual el FBI ofrece una recompensa de 3 millones de dólares sobre cualquier pista sobre su paradero.
Entre los archivos que los usuarios valoran altamente son los archivos de juegos de ordenador, como las partidas guardadas y las claves de activación de Steam. Esto hace que el ransomware sea muy eficaz en conseguir a los usuarios pagen el rescate. Esto significa que TeslaCrypt apunta muchos tipos diferentes de usuarios, incluidos los jugadores de PC. Al igual que las fotos irremplazables, un juego a salvar, que es el producto de innumerables horas de juego, es extremadamente valioso y difícil de reemplazar.
Entre los juegos afectados están:
Cryptowall y Cryptowall 2 han introducido "características" como técnicas anti-depuración avanzadas, sólo para que muchas de esas características que retiró en Cryptowall 3. El ransomware se está convirtiendo en un negocio muy lucrativo, lo que lleva a muchas variantes y campañas dirigidas a regiones localizadas incluso en sus propios idiomas específicos. Aunque es posible que estas múltiples variantes son patrocinados por el mismo actor amenaza, la conclusión más probable es que múltiples actores de amenazas están saltando en reclamar una porción de un mercado cada vez mayor ransomware.
La variante llamada TeslaCrypt se aprovecha de una vulnerabilidad en Adobe Flash Player (usada en el Angler Exploit Kit) y además secuestra partidas guardadas de juegos.
Este es el ransomware que codifica con un "simple" Advanced Encryption Standard (AES) AES 256, simétrico, (aunque en su POPUP indique que lo hace con RSA2048, la información es que es una simple copia de la ventana del CRYPTOLOCKER),
En el caso de TeslaCrypt, los ficheros cifrados por él, son marcados por el añadido de la palabra “.ECC" (extensión), haciendo ver que son Elliptic Curve Cryptographic (ECC), aunque no es cierto.. Otra nueva variante llamada Alpha Crypt añade la extensión .EZZ a todos los ficheros.
Para prevenir infecciones desde páginas dañinas que emplean Web Exploit Kits así como ficheros ofimáticos dañinos que puedan llegar al equipo por medio de correo electrónico, redes sociales, etc., se recomienda mantener el software correctamente actualizado. El navegador, versiones antiguas de Java, Flash o Adobe Acrobat suelen ser algunas de las principales vías de infección en ataques de este tipo.
También se recomienda mostrar las extensiones para tipos de ficheros conocidos. Algunos ransomware como CryptoLocker o CryptoTorrent utilizan ficheros dañinos con doble extensión (.PDF.EXE) para ocultar su verdadera naturaleza. Si el sistema no muestra la extensión principal del fichero puede hacer creer al usuario que se trata de un fichero ofimático en lugar de un ejecutable.
El cifrado simétrico consiste en el uso de una misma llave para cifrar y descifrar el mensaje cifrado. El hecho de que exista un secreto compartido entre emisor y receptor constituye una vulnerabilidad que ha sido resuelta únicamente por el cifrado asimétrico.
Con el cifrado asimétrico el problema del secreto compartido se resuelve: los mensajes se cifran con una clave pública, y sólo el receptor con su clave privada podrá descifrarlo. El "virus" CryptoLocker usa cifrado asimétrico.
Extensiones de fichero que cifra TeslaCrypt
La mayoría de las muestras TeslaCrypt utilizan COM + técnicas de evasión de sandbox. Por ejemplo, el gotero analizamos utiliza sencillo código de detección que verifica si la interfaz COM "URLReader2" se ha instalado correctamente en la lista de gráfico de filtro DirectShow:
Los threads de TeslaCrypt hacen lo siguiente (entre otras muchas cosas)
Here is the list of command line options:
Los links a a las herramientas son:
Ejecutable Exe para Windows.
Script Python
Fuentes:
http://blogs.cisco.com/security/talos/teslacrypt
Una de las últimas variantes de CryptoLocker se llama TeslaCrypt y parece ser un derivado del ransomware Cryptolocker original .Aunque dice estar usando un cifrado asimétrico RSA-2048 para cifrar archivos, en realidad está haciendo uso de simétrica AES en su lugar. Talos fue capaz de desarrollar una herramienta que descifra los archivos cifrados por el ransomware TeslaCrypt.
Recordemos que el supuesto creador de CryptoLocker no es otro que el ruso de 31 años Evgeniy Bogachev, por el cual el FBI ofrece una recompensa de 3 millones de dólares sobre cualquier pista sobre su paradero.
Entre los archivos que los usuarios valoran altamente son los archivos de juegos de ordenador, como las partidas guardadas y las claves de activación de Steam. Esto hace que el ransomware sea muy eficaz en conseguir a los usuarios pagen el rescate. Esto significa que TeslaCrypt apunta muchos tipos diferentes de usuarios, incluidos los jugadores de PC. Al igual que las fotos irremplazables, un juego a salvar, que es el producto de innumerables horas de juego, es extremadamente valioso y difícil de reemplazar.
Entre los juegos afectados están:
- RPG Maker
- Call of Duty
- Dragon Age
- StarCraft
- MineCraft
- World of Warcraft
- Diablo
- Fallout 3
- Half Life 2
- Skyrim
- Day Z
- League of Legends
- World of Tanks
Cryptowall y Cryptowall 2 han introducido "características" como técnicas anti-depuración avanzadas, sólo para que muchas de esas características que retiró en Cryptowall 3. El ransomware se está convirtiendo en un negocio muy lucrativo, lo que lleva a muchas variantes y campañas dirigidas a regiones localizadas incluso en sus propios idiomas específicos. Aunque es posible que estas múltiples variantes son patrocinados por el mismo actor amenaza, la conclusión más probable es que múltiples actores de amenazas están saltando en reclamar una porción de un mercado cada vez mayor ransomware.
La variante llamada TeslaCrypt se aprovecha de una vulnerabilidad en Adobe Flash Player (usada en el Angler Exploit Kit) y además secuestra partidas guardadas de juegos.
Este es el ransomware que codifica con un "simple" Advanced Encryption Standard (AES) AES 256, simétrico, (aunque en su POPUP indique que lo hace con RSA2048, la información es que es una simple copia de la ventana del CRYPTOLOCKER),
En el caso de TeslaCrypt, los ficheros cifrados por él, son marcados por el añadido de la palabra “.ECC" (extensión), haciendo ver que son Elliptic Curve Cryptographic (ECC), aunque no es cierto.. Otra nueva variante llamada Alpha Crypt añade la extensión .EZZ a todos los ficheros.
Para prevenir infecciones desde páginas dañinas que emplean Web Exploit Kits así como ficheros ofimáticos dañinos que puedan llegar al equipo por medio de correo electrónico, redes sociales, etc., se recomienda mantener el software correctamente actualizado. El navegador, versiones antiguas de Java, Flash o Adobe Acrobat suelen ser algunas de las principales vías de infección en ataques de este tipo.
También se recomienda mostrar las extensiones para tipos de ficheros conocidos. Algunos ransomware como CryptoLocker o CryptoTorrent utilizan ficheros dañinos con doble extensión (.PDF.EXE) para ocultar su verdadera naturaleza. Si el sistema no muestra la extensión principal del fichero puede hacer creer al usuario que se trata de un fichero ofimático en lugar de un ejecutable.
Cifrado Simétrico (AES, DES, RC4)
El cifrado simétrico consiste en el uso de una misma llave para cifrar y descifrar el mensaje cifrado. El hecho de que exista un secreto compartido entre emisor y receptor constituye una vulnerabilidad que ha sido resuelta únicamente por el cifrado asimétrico.
Cifrado Asimétrico (RSA)
Con el cifrado asimétrico el problema del secreto compartido se resuelve: los mensajes se cifran con una clave pública, y sólo el receptor con su clave privada podrá descifrarlo. El "virus" CryptoLocker usa cifrado asimétrico.
Extensiones de fichero que cifra TeslaCrypt
.sql - .mp4 - .rar - .m4a - .wma - .avi - .wmv - .csv - .d3dbsp - .zip - .sie - .sum - .ibank - .t13 - .t12 - .qdf - .gdb - .tax - .pkpass - .bc6 - .bc7 - .bkp - .qic - .bkf - .sidn - .sidd - .mddata - .itl - .itdb - .icxs - .hvpl - .hplg - .hkdb - .mdbackup - .syncdb - .gho - .cas - .svg - .map - .wmo - .itm - .fos - .mov - .vdf - .ztmp - .sis - .sid - .ncf - .menu - .layout - .dmp - .blob - .esm - .vcf - .vtf - .dazip - .fpk - .mlx - .iwd - .vpk - .tor - .psk - .rim - .w3x - .fsh - .ntl - .arch00 - .lvl - .snx - .cfr - .vpp_pc - .lrf - .mcmeta - .vfs0 - .mpqge - .kdb - .db0 - .dba - .rofl - .hkx - .bar - .upk - .das - .iwi - .litemod - .asset - .forge - .ltx - .bsa - .apk - .re4 - .sav - .lbf - .slm - .bik - .epk - .rgss3a - .pak - .big - wallet - .wotreplay - .xxx - .desc - .m3u - .flv - .css - .png - .jpeg - .txt - .p7c - .p7b - .p12 - .pfx - .pem - .crt - .cer - .der - .x3f - .srw - .pef - .ptx - .r3d - .rw2 - .rwl - .raw - .raf - .orf - .nrw - .mrwref - .mef - .erf -.kdc - .dcr - .cr2 - .crw - .bay - .sr2 - .srf - .arw - .3fr - .dng - .jpe - .jpg - .cdr - .indd - .eps - .pdf - .pdd - .psd - .dbf - .mdf - .wb2 - .rtf - .wpd - .dxg - .dwg - .pst - .accdb - .mdb - .pptm - .pptx - .ppt - .xlk - .xlsb - .xlsm -.xlsx - .xls - .wps - .docm - .docx - .doc - .odb - .odc - .odm - .odp - .ods - .odt
La mayoría de las muestras TeslaCrypt utilizan COM + técnicas de evasión de sandbox. Por ejemplo, el gotero analizamos utiliza sencillo código de detección que verifica si la interfaz COM "URLReader2" se ha instalado correctamente en la lista de gráfico de filtro DirectShow:
Los threads de TeslaCrypt hacen lo siguiente (entre otras muchas cosas)
- Elimina todas las copias de volumen del sistema (copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "Vssadmin.exe delete shadow/ all / quiet"
- Abre el archivo "key.dat" y recuperar las claves de cifrado. Si no existe el archivo "key.dat", crear las claves y almacenarlas en forma encriptada en el archivo "key.dat".
La herramienta para descifrar los archivos (TeslaDecrypt)
Talos ha creado una herramienta gratuita de descifrado. Es una utilidad de línea de comandos. Se necesita el archivo "key.dat" para recuperar correctamente la llave maestra utilizada para el cifrado de archivos. Antes de que comience la ejecución, busca "key.dat" en su ubicación original (directorio de datos de aplicación del usuario), o en el directorio actual. Si no es capaz de encontrar y correctamente analizar el archivo "key.dat", se devuelve un error y sale.Here is the list of command line options:
- /help – Show the help message
- /key – Manually specify the master key for the decryption (32 bytes/64 digits)
- /keyfile – Specify the path of the “key.dat” file used to recover the master key.
- /file – Decrypt an encrypted file
- /dir – Decrypt all the “.ecc” files in the target directory and its subdirs
- /scanEntirePc – Decrypt “.ecc” files on the entire computer
- /KeepOriginal – Keep the original file(s) in the encryption process
- /deleteTeslaCrypt – Automatically kill and delete the TeslaCrypt dropper (if found active in the target system)
Los links a a las herramientas son:
Ejecutable Exe para Windows.
Script Python
Fuentes:
http://blogs.cisco.com/security/talos/teslacrypt
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.