Cerrar menu

Conocer Ransom32: La primera ransomware JavaScript


0

Conocer Ransom32: La primera ransomware jаvascript

El software como servicio (SaaS) es relativamente un nuevo modelo de cómo una gran cantidad de compañías de software están llevando a cabo sus negocios de hoy - a menudo con gran éxito. Así que no es ninguna sorpresa que los creadores de malware y los cibercriminales están tratando de adoptar este modelo para sus propios fines nefastos. En el último año un montón de estas campañas de "ransomware como servicio" apareció, como por ejemplo Tox , Fakben o Radamant . Hoy queremos poner de relieve la más reciente de estas campañas.


Conocer Ransom32


A primera vista Ransom32 parece un centavo de una docena entre muchas campañas de malware similares.Inscripciones se manejan a través de un servidor oculto en la red Tor . Un simple Bitcoin dirección donde desea que los fondos generados por el ransomware que se enviará a es suficiente para registrarse. 



Después de escribir en su Bitcoin dirección, obtendrá al de istración rudimentaria. En el de istración, puede obtener varias estadísticas, como por ejemplo el número de personas ya se hayan pagado o cómo se infectaron muchos sistemas. También puede configurar su "cliente", que es su término para el malware real. Es posible cambiar la cantidad de bitcoins el malware pedirá, así como los parámetros de configure como cuadros de mensajes falsos que el malware se supone que debe mostrar durante la instalación.



Un clic en "Descargar client.scr" generará entonces el malware de acuerdo con las especificaciones y se iniciará la descarga del archivo grande de malware más de 22 MB. En este punto, se hace evidente que Ransom32 es muy diferente a otros ransomware, que rara vez excede de 1 MB de tamaño. De hecho, los autores más ransomware utilizan el pequeño tamaño de sus archivos maliciosos como una especie de punto de venta único cuando la publicidad de sus campañas en las comunidades de hackers subterráneas. Ransom32 tenía definitivamente nuestro interés.



Desenvolver el gigante


Después de un examen más detenido en el archivo descargado resultó ser un archivo de extracción automática WinRAR:



El malware utiliza el lenguaje de script implementado en WinRAR para descomprimir automáticamente el contenido del archivo en el directorio de archivos temporales del y ejecute el archivo "chrome.exe" contenida en el archivo. Los archivos dentro del archivo tienen los siguientes propósitos:

  • "Cromo" contiene una copia del contrato de licencia GPL.
  • "Chrome.exe" es un empaquetado NW.js aplicación y contiene el código de malware actual, así como el marco necesario para ejecutar el programa malicioso.
  • "Ffmpegsumo.dll", "nw.pak", "icudtl.dat" y "locales" contienen datos que son requeridos por el NW.js marco para funcionar correctamente.
  • "Rundll32.exe" es una copia cambiado el nombre del cliente Tor .
  • "S.exe" es una copia cambiado el nombre de X óptimo de directo, una utilidad para crear y manipular escritorio y s directos del menú.
  • "G" contiene la información de configuración del software malicioso como se ha configurado en la interfaz web.
  • "Msgbox.vbs" es un pequeño script que muestra un mensaje emergente personalizable y se utiliza para mostrar el cuadro de mensaje configurado.
  • "U.vbs" es un pequeño script que enumera, y elimina todos los archivos y carpetas en un directorio dado.

La parte más interesante, con mucho, en ese paquete es la "chrome.exe". Tras la primera inspección, "chrome.exe" se parece sospechosamente a una copia del navegador Chrome real. Sólo la falta de una firma y la versión digital de información adecuada insinúa que este archivo no es el navegador Chrome real. Tras una posterior inspección, resultó que este archivo es un empaquetado NW.js aplicación.


El uso de tecnologías modernas basadas en la Web para ransomware


Entonces, ¿qué es NW.js exactamente?  NW.js es esencialmente un marco que le permite desarrollar aplicaciones de escritorio normales para Windows, Linux y MacOS X usando jаvascript. Está basada en los populares Node.js y cromo proyectos. Así, mientras que jаvascript es por lo general bien un recinto de seguridad en su navegador y en realidad no puede tocar el sistema se ejecuta en, NW.js permite mucho más control e interacción con el sistema operativo subyacente, lo que permite jаvascript para hacer casi todo lo "normal" de los lenguajes de programación como C ++ o Delphi pueden hacer. 


El beneficio para el desarrollador es que pueden convertir sus aplicaciones web en aplicaciones de escritorio normales con relativa facilidad. Para los desarrolladores de aplicaciones de escritorio normales que tiene la ventaja de que NW.js es capaz de ejecutar el mismo código jаvascript en diferentes plataformas. Por lo que un NW.js aplicación sólo necesita ser escrita una vez y es inmediatamente utilizable en Windows, Linux y MacOS X.


Esto también significa, que al menos en teoría, Ransom32 podría fácilmente ser empaquetado para Linux y Mac OS X. Una vez dicho esto en este momento no hemos visto ningún tipo de paquetes, que al menos por el momento hace Ransom32 más probable es que en Windows solamente. Otro gran beneficio para el autor de malware es que NW.js es un marco legítimo y aplicación. Así que no es de extrañar que incluso casi 2 semanas después de que se creó por primera vez el malware, la cobertura de la firma sigue siendo muy mala .


Una vez Ransom32 llega en un sistema y se ejecuta, primero desempaquetar todos sus archivos en la carpeta de archivos temporales. A partir de ahí se copia en la carpeta "% AppData% navegador Chrome" directorio.Utiliza el archivo "s.exe" incluido para crear un directo en la carpeta Inicio del llamado "ChromeService" que se asegurará de que el malware está siendo ejecutado en cada arranque. El malware continuación, se iniciará el cliente Tor incluido para establecer una conexión con su mando y de control de servidor (servidor C2) escondido dentro de la red Tor en el puerto 85. Después de una conexión exitosa con el servidor de C2 a negociar el Bitcoin aborda el afectado se supone para enviar el rescate a, así como el intercambio de la clave criptográfica utilizada para el cifrado, el malware con el tiempo se mostrará su nota de rescate.



A continuación, inicia el cifrado de los archivos del . Todos los archivos con una de las siguientes extensiones de archivo están en la mira:

* .webp, * .jpeg, * .raw, * .tif, * .webp, * .webp, * .bmp, * .3dm, .max *, * .accdb, * .db, * .dbf, *. MDB, * .pdb, * .sql, *. * * SAV, *. * * SPV, *. * grle *, *. * mlx *, *. * SV5 *, *. * juego *, *. * ranura *, * .dwg, * .dxf, * .c, .p *, * .cs, * .h, * .php, .asp *, * .rb, * .java, * .jar, * .class, * .aaf, * .aep, * .aepx, * .PLB, * .prel, * .prproj, * .aet, * .ppj, * .psd, * .indd, * .indl, * .indt, *. INDB, .inx *, * .idml, * .pmd, * .xqx, .xqx *, * .ai, .eps *, * .ps, * .svg, * .swf, * .fla, * .as3, * .as, * .txt, * .doc, * .dot, * .docx, * .docm, .dotx *, * .dotm, .docb *, * .rtf, * .wpd * .wps, *. msg, * .pdf, * .xls, * .xlt, .xlm *, * .xlsx, * .xlsm * .xltx, .xltm *, * .xlsb, * .xla, .xlam *, * .xll, * .xlw, * .ppt, .pot *, * .pps, .pptx *, *, * .pptm .potx, .potm *, * .ppam, .ppsx *, * .ppsm, .sldx *, *. sldm, * .wav, * .mp3, * .aif, .IFF *, * .m3u, * .m4u, * .mid, * .mpa, * .wma, * .ra, * .avi, * .mov, * .mp4, .3gp *, * .mpeg, * .3g2, * .asf, .asx *, * .flv, * .mpg, * .wmv, * Vob, .m3u8 *, * .csv, *. EFX, .sdf *, * .vcf, * .xml, * .ses, * .dat


El malware no intentará cifrar los archivos si se encuentran en un directorio que contiene cualquiera de las siguientes cadenas:

  • : Windows
  • : WINNT
  • programdata
  • bota
  • temperatura
  • tmp
  • $ Recycle.bin

Los archivos están siendo encriptados usando clave pública que está siendo obtenida del servidor C2 durante la primera comunicación.

 


La clave de cifrado AES se almacena junto con los datos cifrados AES en el interior del archivo encriptado ahora.


El malware también ofrece para descifrar un archivo único para demostrar que el autor de malware tiene la capacidad de revertir el descifrado. Durante este proceso, el malware se enviará la clave de cifrado AES desde el archivo seleccionado al servidor C2 y obtiene la clave de descifrado AES por archivo a cambio.


¿Cómo puedo protegerme de Ransom32?


Como se explica en nuestro artículo reciente ransomware , la mejor protección sigue siendo una estrategia de copia de seguridad sólida y probada. Una vez más, sin embargo, la tecnología utilizada por el comportamiento bloqueador squared Anti-Malware y Emsisoft Internet Security resultó ser la segunda mejor defensa, ya que todos nuestros s una vez más están protegidos de este y centenares de diferentes variantes de ransomware sin necesidad de firmas.



Consideramos ransomware una de las mayores amenazas del año pasado y la intención de hacer todo lo posible para continuar nuestra excelente trayectoria en el próximo año, para mantener a los s de protección posible. | Ver Ransomware Ataca A Sitios Web

omegayalfa

Sobre mi: ¡Aprende los trucos de tutoriales online y cursos gratis con Tutoriales En Linea! Con manuales paso a paso para desarrollar tu conocimiento, Tutoriales En Linea te ayudará a mejorar tus habilidades y lograr tus metas.
Un tutorial está diseñado con pasos secuenciales que aumentan gradualmente el entendimiento. Por lo tanto, es importante que se sigan los pasos en su orden lógico para que el comprenda todos los elementos. Para optimizar los resultados, se recomienda seguir de forma profesional las instrucciones del tutorial.

Artículos Relacionados



Comentarios



Información
s que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!