Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
-
▼
octubre
(Total:
35
)
- Múltiples vulnerabilidades en los CMS de Joomla y ...
- Tor Messenger Beta, el chat fácil sobre la red Tor
- OnePlus X ya tiene precio y disponibilidad oficial...
- Android permitirá grabar la pantalla a través de G...
- ¿A qué edad debe tener un niño su primer teléfono ...
- Netflix publicará la velocidad real de conexión de...
- Ya es posible la configuración Multi-GPU Nvidia co...
- HTC Dream, el primer móvil con Android cumple 7 años
- Los clientes españoles de Ashley Madison están sie...
- SocialDrive te avisa de radares y controles polici...
- Premios Bitácoras 2015: Mejor Blog de Seguridad In...
- OVH World Tour en Barcelona
- Western Digital compra SanDisk por 19.000 millones...
- Rifle desactiva drones a una distancia de hasta 40...
- BackBox Linux 4.4 para realizar Pentesting
- Analizar APKs con AndroTotal y binarios con Revers...
- 9 de cada 10 ayuntamientos españoles son vulnerabl...
- EMET 5.5 incluye la posibilidad de bloquear la car...
- Adobe confirma importante vulnerabilidad de Flash,...
- El ransomware cifrador Shade de origen ruso
- Ataques de fuerza bruta con amplificación en WordP...
- [NocONName] Congreso No cON Name 2015 en La Salle
- Determinar extensión de un fichero mirando las cab...
- Hoox un teléfono ultraseguro a prueba de espías
- Neural Alfa, el teclado de SwiftKey basado en el a...
- Un gato buscando redes Wifi, haciendo Wardriving
- Google presenta oficialmente Android 6.0 Marshmallow
- Samsung no arreglará el Stagefright 2.0 en algunos...
- Google implementará HTTPS en Blogger
- Espiar el móvil de la pareja: dos años y medio de ...
- Phishing a Google a través de SMS supuestamente en...
- Botnet se aprovecha de sistemas Linux para realiza...
- Stagefright 2.0, nueva y grave vulnerabilidad en A...
- Modificación de mensajes manipulando la base de da...
- Descubre todo lo que Google sabe de ti
- ► septiembre (Total: 47 )
-
▼
octubre
(Total:
35
)
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
El ransomware cifrador Shade de origen ruso
viernes, 16 de octubre de 2015
|
Publicado por
el-brujo
|
Editar entrada
La familia de troyanos extorsionadores
que cifran ficheros y les agregan las extensiones “.xtbl” y “.ytbl”
apareció entre finales de 2014 y principios de 2015 y muy pronto ocupó
una posición estable entre los tres cifradores más propagados en Rusia
(junto con Trojan-Ransom.Win32.Cryakl y Trojan-Ransom.BAT.Scatter).
Según la clasificación de Kaspersky Lab, esta amenaza recibió el
veredicto Trojan-Ransom.Win32.Shade. No sabemos qué nombre le dio el
autor a este cifrador. Otras compañías antivirus lo detectan bajo los
nombres de Trojan.Encoder.858, Ransom:Win32/Troldesh.
El troyano casi no muestra señales de estar evolucionando. Cambian sólo el formato del nombre del fichero cifrado, las direcciones de los servidores de administración y el juego de llaves RSA.
Existen dos formas de enviar este malware al equipo de la víctima: envíos masivos de spam y exploits kits (en particular, Nuclear EK).
En el primer caso la víctima recibe un mensaje que tiene como adjunto un fichero ejecutable malicioso. La infección del sistema ocurre al abrirse el adjunto. Durante la propagación de Trojan-Ransom.Win32.Shade se usan los siguientes nombres de ficheros:
El segundo modo de propagación (los exploits kits) es más peligroso, en vista de que la infección ocurre sin que el usuario se dé cuenta, cuando visita un sitio web infectado. Puede tratarse del sitio web de los delincuentes o de un recurso completamente legal, pero capturado por los hackers. Lo más frecuente es que el usuario no sepa que el sitio representa peligro. Un código malicioso en el sitio explota una vulnerabilidad en el navegador o sus plugins, y de forma disimulada instala el troyano en el sistema. En este caso, a diferencia del mensaje spam, no es necesario que la víctima lance el fichero ejecutable.
Después de que Trojan-Ransom.Win32.Shade ingresa en el sistema, se conecta a su servidor de administración que se encuentra en la red Tor, informa que ha infectado un sistema y solicita una llave RSA-3072 abierta, que después usará para cifrar los ficheros (más adelante veremos cómo lo hace). Si por alguna razón no logra conectarse, el malware escoge una de las 100 llaves que contiene en su cuerpo, y que fueron puestas precisamente para usarlas en estos casos.
Y empieza a cifrar los ficheros. Cuando está buscando objetos para cifrar, usa la lista estática de extensiones de la siguiente captura de pantalla:
Una vez terminado el cifrado, pone en el escritorio la siguiente imagen intimidatoria:
El malware exige por escrito su recompensa en los ficheros README1.txt,…, README10.txt. Su contenido siempre luce igual:
Pero, a diferencia de la mayoría de los demás cifradores, esto no es todo lo que hace Trojan-Ransom.Win32.Shade. Y es que no concluye su proceso, sino que inicia un ciclo infinito en el cual pide al servidor de administración la lista de direcciones de malware adicional, para después instalarlo en el sistema. Esta función es característica de los bots descargadores. Hemos constatado que se descargan representantes de las familias:
Por esta razón es muy importante realizar un análisis antivirus completo del equipo si se ha detectado el cifrador Shade (o los resultados de su funcionamiento, ficheros con extensiones .xtbl y .ytbl). Si no se realiza la curación, es alta la probabilidad de que el sistema quede infectado por varios y diferentes programas maliciosos descargados por este cifrador.
Fuente, leer entrada completa:
http://www.viruslist.com/sp/analysis?pubid=207271293
El troyano casi no muestra señales de estar evolucionando. Cambian sólo el formato del nombre del fichero cifrado, las direcciones de los servidores de administración y el juego de llaves RSA.
Existen dos formas de enviar este malware al equipo de la víctima: envíos masivos de spam y exploits kits (en particular, Nuclear EK).
En el primer caso la víctima recibe un mensaje que tiene como adjunto un fichero ejecutable malicioso. La infección del sistema ocurre al abrirse el adjunto. Durante la propagación de Trojan-Ransom.Win32.Shade se usan los siguientes nombres de ficheros:
- doc_dlea podpisi.com (doc_para firmar.com)
- doc_dlea podpisi.rar (doc_para firmar.rar)
- documenti_589965465_documenti.com (documentos_589965465_documentos.com)
- documenti_589965465_documenti.rar (documentos_589965465_documentos.rar)
- documenti_589965465_doc.scr (documentos_589965465_doc.scr)
- doc_dlea podpisi.rar (doc_para firmar.rar)
- не подтвержден 308853.scr (no confirmado 308853.scr)
- documenti dlea podpisi 05.08.2015.scr.exe (documentos para firmar 05.08.2015.scr.exe)
- akt sverki za 17082015.scr (acta de comprobación del 17082015.scr)
El segundo modo de propagación (los exploits kits) es más peligroso, en vista de que la infección ocurre sin que el usuario se dé cuenta, cuando visita un sitio web infectado. Puede tratarse del sitio web de los delincuentes o de un recurso completamente legal, pero capturado por los hackers. Lo más frecuente es que el usuario no sepa que el sitio representa peligro. Un código malicioso en el sitio explota una vulnerabilidad en el navegador o sus plugins, y de forma disimulada instala el troyano en el sistema. En este caso, a diferencia del mensaje spam, no es necesario que la víctima lance el fichero ejecutable.
Después de que Trojan-Ransom.Win32.Shade ingresa en el sistema, se conecta a su servidor de administración que se encuentra en la red Tor, informa que ha infectado un sistema y solicita una llave RSA-3072 abierta, que después usará para cifrar los ficheros (más adelante veremos cómo lo hace). Si por alguna razón no logra conectarse, el malware escoge una de las 100 llaves que contiene en su cuerpo, y que fueron puestas precisamente para usarlas en estos casos.
Y empieza a cifrar los ficheros. Cuando está buscando objetos para cifrar, usa la lista estática de extensiones de la siguiente captura de pantalla:
Una vez terminado el cifrado, pone en el escritorio la siguiente imagen intimidatoria:
El malware exige por escrito su recompensa en los ficheros README1.txt,…, README10.txt. Su contenido siempre luce igual:
Pero, a diferencia de la mayoría de los demás cifradores, esto no es todo lo que hace Trojan-Ransom.Win32.Shade. Y es que no concluye su proceso, sino que inicia un ciclo infinito en el cual pide al servidor de administración la lista de direcciones de malware adicional, para después instalarlo en el sistema. Esta función es característica de los bots descargadores. Hemos constatado que se descargan representantes de las familias:
- Trojan.Win32.CMSBrute (sobre el cual escribiremos más abajo).
- Trojan.Win32.Muref
- Trojan.Win32.Kovter
- Trojan-Downloader.Win32.Zemot
Por esta razón es muy importante realizar un análisis antivirus completo del equipo si se ha detectado el cifrador Shade (o los resultados de su funcionamiento, ficheros con extensiones .xtbl y .ytbl). Si no se realiza la curación, es alta la probabilidad de que el sistema quede infectado por varios y diferentes programas maliciosos descargados por este cifrador.
Rasgos comunes de los troyanos de la familia Shade
- Están escritos en C++ usando STL y clases propias.
- Está vinculado de forma estática con un cliente de la red Tor.
- Usa las bibliotecas boost (threads), curl, OpenSSL.
- En cada ejemplar está incluida la dirección de un servidor de administración y en las diferentes muestras encontramos las direcciones de 10 servidores de administración, 8 de los cuales están activos en este momento. Todos los servidores se encuentran en la red Tor.
- Todas las cadenas (junto con los nombres de las funciones importadas) están cifradas mediante el algoritmo AES y se las descifra al iniciarse el programa, después de lo cual se realiza el relleno dinámico de las tablas de importación.
- Antes de instalar sus fondos de pantalla, guarda los fondos de pantalla anteriores en el registro.
- Por lo general vienen empaquetados mediante UPX y un empaquetador adicional. Una vez desempaquetado tiene un tamaño de 1817 KB.
- En el equipo infectado crea 10 ficheros idénticos README1.txt,… README1.txt, donde hay un texto en ruso e inglés exigiendo el rescate.
- Para cifrar el contenido y el nombre de cada fichero genera una llave AES única de 256 bits. El cifrado se realiza en el modo CBC con un vector inicial igual a cero.
- Contiene 100 llaves RSA-3072 públicas con un exponente abierto 65537 (en total se han detectado 300 diferentes llaves públicas en los diferentes ejemplares).
- Cuenta con funciones de descarga y ejecución de malware.
Geografía
Los casos de infección provocados por este troyano están más difundidos en Rusia, Ucrania y Alemania. Según los datos de KSN, la geografía de la distribución de Trojan-Ransom.Win32.Shade es la siguiente:Malware descargado: un troyano que usa fuerza bruta para adivinar las contraseñas de los sitios web
Entre los programas maliciosos que descarga Trojan-Ransom.Win32.Shade está un troyano que lanza ataques de fuerza bruta para adivinar las contraseñas de sitios web. La organización interna del troyano de fuerza bruta recuerda mucho al cifrador y lo más probable es que sea un proyecto de los mismo autores. El malware descargado se detecta como Trojan.Win32.CMSBrute.Rasgos comunes de la familia CMSBrute
- Está escrito en C++ usando STL y clases propias.
- Está vinculado estáticamente con un cliente de la red Tor.
- Usa las bibliotecas boost (threads), curl, OpenSSL.
- Cada ejemplar contiene la dirección de un servidor de administración y en diferentes ejemplares encontramos las direcciones de tres servidores de administración. Todos los servidores de administración se encuentran en la red Tor, pero son diferentes de los encontrados en los ejemplares de Trojan-Ransom.Win32.Shade.
- Todas las cadenas (junto con los nombres de las funciones importadas) están cifradas mediante el algoritmo AES y se descifran durante el inicio del programa, después de lo cual se realiza el relleno dinámico de las tablas de importación.
- Por lo general está empaquetado con UPX y una vez desempaquetado su tamaño es de 2080-2083 KB.
- Se copia a uno de los directorios del disco C con el nombre de csrss.exe.
- Descarga plugins dll adicionales. Los plugins contienen el código que determina el sistema de gestión de contenido (CMS) instalado en el sitio web atacado, busca el panel de administración y elección de contraseña. Se han detectado plugins para sitios que usan Joomla, Wordpress y DataLife Engine.
Fuente, leer entrada completa:
http://www.viruslist.com/sp/analysis?pubid=207271293
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.