fudmario Posted June 6, 2014 Share Posted June 6, 2014 Análisis de Malware Hola a todos, hoy vamos a ver un tipo de variante de Malware conocida como Ransomware, si bien esto no es nada nuevo este tipo de Malwares podrian ser muy daniños, veremos con un ejemplo como funciona y como podemos desinfectarnos. This is the hidden content, please Sign In or Sign Up ¿Qué es un Ransomware? Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. Similares lo que hacen es bloquear el escritorio(muchas veces cambiandolo desde el editor registro) y mostrar en pantalla que simulan ser de alguna tipo de autoridad diciendo que se ha bloqueado el acceso al sistema por violacion de alguna ley, actividades ilegales, etc. Para luego pedir dinero a cambio de poder acceder al sistema. This is the hidden content, please Sign In or Sign Up Entre las modificaciones que generalmente hacen: Para evitar ser Eliminados, modifican valores en registro para que no se pueda iniciar en modo seguro(F8). This is the hidden content, please Sign In or Sign Up Restringir el uso de herramienta utilies de Windows: This is the hidden content, please Sign In or Sign Up Tambien modificar el inicio("explorer.exe"): This is the hidden content, please Sign In or Sign Up Aqui podemos ver como es un Builder de este tipo de Malware: This is the hidden content, please Sign In or Sign Up Muchos se preguntarán: ¿Es posible desinfectarse?. Depende del tipo de Variante de este Malware, podria llegar a solucionarse o no. Hoy vamos a ver el comportamiento de una de estas variantes de Malware. Aqui la muestra: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Actualmente es detectado segun VirusTotal => [45/52] This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Decir que al intentar pasarlo por .Reflector se puede notar que esta empaquetado(SmartAssembly 6.6.3.41), podriamos intentar desempaquetarlo,para luego mediante Reversing obtener mucha más info(pero solo veremos que es lo que hace). This is the hidden content, please Sign In or Sign Up Lo siguiente que haremos será ejecutar en un entorno Controlado: lo ejecutaré en mi VirtualBox, con WinXP(previamente hice un .backup de la Misma). Vemos que despues de ejecutar nos muestra el siguiente mensaje. This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Para una Nueva extension, crea los siguientes Valores: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Autoinicio: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up y que comienza a cifrar todo los archivos con extensiones conocidas(Dumpeando el proceso tambien se puede observar las extensiones afectadas). This is the hidden content, please Sign In or Sign Up Ademas cambia el modo como se abre los archivos. This is the hidden content, please Sign In or Sign Up Ficheros que se Crean This is the hidden content, please Sign In or Sign Up ya sabemos con funciona, ahora si las 2 preguntas mas importantes: ¿Cómo desinfectarse?. Primero vamos a borrar todo rastro de este Malware, vamos a regedit y eliminamos el autoinicio, y tambien desde "Classes" para quitar la extension .LOCKED() ¿Comó Desbloquear los Archivos? Pues gracias a This is the hidden content, please Sign In or Sign Up , que nos brinda herramientas gratuitas, utilizaremos una de ellas "xoristdecryptor" una herramienta bastante util que combate con este tipo de Malware's con la que se puede llegar a decifrar los ficheros. La pueden descargar desde: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Y listo con esto ya tenemos de nuevo funcionando nuestro Sistema. This is the hidden content, please Sign In or Sign Up Recomendaciones: Mantener siempre un antivirus actualizado, si bien no siempre es efectivo esto nos podrá ayudar evitar posibles infecciones. Cualquier Fichero descargado de la Red( Keygen, crack o similares), en lo posible ejecutarlo en un entorno Controlado, Maquinas Virtuales(VBOX,VMWARE,ETC) o Sandbox(si bien no son 100% seguros pero esto podria llegar a minimizará el daño a tu PC). Autor: Fudmario. PD: "Si alguien decide llevar este tutorial a otros lados, se pide respetar el Autor y la Fuente de la misma". Link to comment Share on other sites More sharing options...
Anto Posted June 6, 2014 Share Posted June 6, 2014 Re: Ransomware: Análisis de Malware by fudmario Me pasaron el ransomware y me sorprendió el peso (60kb). Fudmario todo un analizador.. agrreds Link to comment Share on other sites More sharing options...
Recommended Posts