La familia de troyanos extorsionadores que cifran ficheros y les agregan las extensiones “.xtbl” y “.ytbl” apareció entre finales de 2014 y principios de 2015 y muy pronto ocupó una posición estable entre los tres cifradores más propagados en Rusia (junto con Trojan-Ransom.Win32.Cryakl y Trojan-Ransom.BAT.Scatter). Según la clasificación de Kaspersky Lab, esta amenaza recibió el veredicto Trojan-Ransom.Win32.Shade. No sabemos qué nombre le dio el autor a este cifrador. Otras compañías antivirus lo detectan bajo los nombres de Trojan.Encoder.858, Ransom:Win32/Troldesh.






El troyano casi no muestra señales de estar evolucionando. Cambian sólo el formato del nombre del fichero cifrado, las direcciones de los servidores de administración y el juego de llaves RSA.
Existen dos formas de enviar este malware al equipo de la víctima: envíos masivos de spam y exploits kits (en particular, Nuclear EK).

En el primer caso la víctima recibe un mensaje que tiene como adjunto un fichero ejecutable malicioso. La infección del sistema ocurre al abrirse el adjunto. Durante la propagación de Trojan-Ransom.Win32.Shade se usan los siguientes nombres de ficheros:

• doc_dlea podpisi.com (doc_para firmar.com)
• doc_dlea podpisi.rar (doc_para firmar.rar)
• documenti_589965465_documenti.com (documentos_589965465_documentos.com)
• documenti_589965465_documenti.rar (documentos_589965465_documentos.rar)
• documenti_589965465_doc.scr (documentos_589965465_doc.scr)
• doc_dlea podpisi.rar (doc_para firmar.rar)
• не подтвержден 308853.scr (no confirmado 308853.scr)
• documenti dlea podpisi 05.08.2015.scr.exe (documentos para firmar 05.08.2015.scr.exe)
• akt sverki za 17082015.scr (acta de comprobación del 17082015.scr)

Cabe destacar que el nombre del fichero cambia en cada envío y las posibles variantes no se limitan a la lista de arriba.

El segundo modo de propagación (los exploits kits) es más peligroso, en vista de que la infección ocurre sin que el usuario se dé cuenta, cuando visita un sitio web infectado. Puede tratarse del sitio web de los delincuentes o de un recurso completamente legal, pero capturado por los hackers. Lo más frecuente es que el usuario no sepa que el sitio representa peligro. Un código malicioso en el sitio explota una vulnerabilidad en el navegador o sus plugins, y de forma disimulada instala el troyano en el sistema. En este caso, a diferencia del mensaje spam, no es necesario que la víctima lance el fichero ejecutable.

Después de que Trojan-Ransom.Win32.Shade ingresa en el sistema, se conecta a su servidor de administración que se encuentra en la red Tor, informa que ha infectado un sistema y solicita una llave RSA-3072 abierta, que después usará para cifrar los ficheros (más adelante veremos cómo lo hace). Si por alguna razón no logra conectarse, el malware escoge una de las 100 llaves que contiene en su cuerpo, y que fueron puestas precisamente para usarlas en estos casos.

Y empieza a cifrar los ficheros. Cuando está buscando objetos para cifrar, usa la lista estática de extensiones de la siguiente captura de pantalla:



Una vez terminado el cifrado, pone en el escritorio la siguiente imagen intimidatoria:



 El malware exige por escrito su recompensa en los ficheros README1.txt,…, README10.txt. Su contenido siempre luce igual:

 


Pero, a diferencia de la mayoría de los demás cifradores, esto no es todo lo que hace Trojan-Ransom.Win32.Shade. Y es que no concluye su proceso, sino que inicia un ciclo infinito en el cual pide al servidor de administración la lista de direcciones de malware adicional, para después instalarlo en el sistema. Esta función es característica de los bots descargadores. Hemos constatado que se descargan representantes de las familias:

• Trojan.Win32.CMSBrute (sobre el cual escribiremos más abajo).
• Trojan.Win32.Muref
• Trojan.Win32.Kovter
• Trojan-Downloader.Win32.Zemot

Este es el código del ciclo de descarga y espera:


 


Por esta razón es muy importante realizar un análisis antivirus completo del equipo si se ha detectado el cifrador Shade (o los resultados de su funcionamiento, ficheros con extensiones .xtbl y .ytbl). Si no se realiza la curación, es alta la probabilidad de que el sistema quede infectado por varios y diferentes programas maliciosos descargados por este cifrador.

Rasgos comunes de los troyanos de la familia Shade

• Están escritos en C++ usando STL y clases propias.
• Está vinculado de forma estática con un cliente de la red Tor.
• Usa las bibliotecas boost (threads), curl, OpenSSL.
• En cada ejemplar está incluida la dirección de un servidor de administración y en las diferentes muestras encontramos las direcciones de 10 servidores de administración, 8 de los cuales están activos en este momento. Todos los servidores se encuentran en la red Tor.
• Todas las cadenas (junto con los nombres de las funciones importadas) están cifradas mediante el algoritmo AES y se las descifra al iniciarse el programa, después de lo cual se realiza el relleno dinámico de las tablas de importación.
• Antes de instalar sus fondos de pantalla, guarda los fondos de pantalla anteriores en el registro.
• Por lo general vienen empaquetados mediante UPX y un empaquetador adicional. Una vez desempaquetado tiene un tamaño de 1817 KB.
• En el equipo infectado crea 10 ficheros idénticos README1.txt,… README1.txt, donde hay un texto en ruso e inglés exigiendo el rescate.
• Para cifrar el contenido y el nombre de cada fichero genera una llave AES única de 256 bits. El cifrado se realiza en el modo CBC con un vector inicial igual a cero.
• Contiene 100 llaves RSA-3072 públicas con un exponente abierto 65537 (en total se han detectado 300 diferentes llaves públicas en los diferentes ejemplares).
• Cuenta con funciones de descarga y ejecución de malware.

Geografía

Los casos de infección provocados por este troyano están más difundidos en Rusia, Ucrania y Alemania. Según los datos de KSN, la geografía de la distribución de Trojan-Ransom.Win32.Shade es la siguiente:

Malware descargado: un troyano que usa fuerza bruta para adivinar las contraseñas de los sitios web

Entre los programas maliciosos que descarga Trojan-Ransom.Win32.Shade está un troyano que lanza ataques de fuerza bruta para adivinar las contraseñas de sitios web. La organización interna del troyano de fuerza bruta recuerda mucho al cifrador y lo más probable es que sea un proyecto de los mismo autores. El malware descargado se detecta como Trojan.Win32.CMSBrute.

Rasgos comunes de la familia CMSBrute

• Está escrito en C++ usando STL y clases propias.
• Está vinculado estáticamente con un cliente de la red Tor.
• Usa las bibliotecas boost (threads), curl, OpenSSL.
• Cada ejemplar contiene la dirección de un servidor de administración y en diferentes ejemplares encontramos las direcciones de tres servidores de administración. Todos los servidores de administración se encuentran en la red Tor, pero son diferentes de los encontrados en los ejemplares de Trojan-Ransom.Win32.Shade.
• Todas las cadenas (junto con los nombres de las funciones importadas) están cifradas mediante el algoritmo AES y se descifran durante el inicio del programa, después de lo cual se realiza el relleno dinámico de las tablas de importación.
• Por lo general está empaquetado con UPX y una vez desempaquetado su tamaño es de 2080-2083 KB.
• Se copia a uno de los directorios del disco C con el nombre de csrss.exe.
• Descarga plugins dll adicionales. Los plugins contienen el código que determina el sistema de gestión de contenido (CMS) instalado en el sitio web atacado, busca el panel de administración y elección de contraseña.
Se han detectado plugins para sitios que usan Joomla, Wordpress y DataLife Engine.

Fuente, leer entrada completa:
http://www.viruslist.com/sp/analysis?pubid=207271293