» » Conocer Ransom32: La primera ransomware JavaScript

Conocer Ransom32: La primera ransomware JavaScript

El software como servicio (SaaS) es relativamente un nuevo modelo de cómo una gran cantidad de compañías de software están llevando a cabo sus negocios de hoy - a menudo con gran éxito. Así que no es ninguna sorpresa que los creadores de malware y los cibercriminales están tratando de adoptar este modelo para sus propios fines nefastos. En el último año un montón de estas campañas de "ransomware como servicio" apareció, como por ejemplo Tox , Fakben o Radamant . Hoy queremos poner de relieve la más reciente de estas campañas.


Conocer Ransom32


A primera vista Ransom32 parece un centavo de una docena entre muchas campañas de malware similares.Inscripciones se manejan a través de un servidor oculto en la red Tor . Un simple Bitcoin dirección donde desea que los fondos generados por el ransomware que se enviará a es suficiente para registrarse. 

Todo lo que necesita para obtener su propia ransomware personalizada es una dirección Bitcoin para enviar sus ganancias aTodo lo que necesita para obtener su propia ransomware personalizada es una dirección Bitcoin para enviar sus ganancias a

Después de escribir en su Bitcoin dirección, obtendrá acceso al panel de administración rudimentaria. En el panel de administración, puede obtener varias estadísticas, como por ejemplo el número de personas ya se hayan pagado o cómo se infectaron muchos sistemas. También puede configurar su "cliente", que es su término para el malware real. Es posible cambiar la cantidad de bitcoins el malware pedirá, así como los parámetros de configure como cuadros de mensajes falsos que el malware se supone que debe mostrar durante la instalación.

 Una interfaz web le permite ver la cantidad de sistemas que el malware ha infectado, el número de bitcoins que ganó y le permite personalizar aún más el malware Una interfaz web le permite ver la cantidad de sistemas que el malware ha infectado, el número de bitcoins que ganó y le permite personalizar aún más el malware

Un clic en "Descargar client.scr" generará entonces el malware de acuerdo con las especificaciones y se iniciará la descarga del archivo grande de malware más de 22 MB. En este punto, se hace evidente que Ransom32 es muy diferente a otros ransomware, que rara vez excede de 1 MB de tamaño. De hecho, los autores más ransomware utilizan el pequeño tamaño de sus archivos maliciosos como una especie de punto de venta único cuando la publicidad de sus campañas en las comunidades de hackers subterráneas. Ransom32 tenía definitivamente nuestro interés.


Desenvolver el gigante


Después de un examen más detenido en el archivo descargado resultó ser un archivo de extracción automática WinRAR:

 

El contenido del archivo Ransom32 SFXEl contenido del archivo Ransom32 SFX

 

El malware utiliza el lenguaje de script implementado en WinRAR para descomprimir automáticamente el contenido del archivo en el directorio de archivos temporales del usuario y ejecute el archivo "chrome.exe" contenida en el archivo. Los archivos dentro del archivo tienen los siguientes propósitos:


      • "Cromo" contiene una copia del contrato de licencia GPL.
      • "Chrome.exe" es un empaquetado NW.js aplicación y contiene el código de malware actual, así como el marco necesario para ejecutar el programa malicioso.
      • "Ffmpegsumo.dll", "nw.pak", "icudtl.dat" y "locales" contienen datos que son requeridos por el NW.js marco para funcionar correctamente.
      • "Rundll32.exe" es una copia cambiado el nombre del cliente Tor .
      • "S.exe" es una copia cambiado el nombre de X óptimo de acceso directo, una utilidad para crear y manipular escritorio y accesos directos del menú.
      • "G" contiene la información de configuración del software malicioso como se ha configurado en la interfaz web.
      • "Msgbox.vbs" es un pequeño script que muestra un mensaje emergente personalizable y se utiliza para mostrar el cuadro de mensaje configurado.
      • "U.vbs" es un pequeño script que enumera, y elimina todos los archivos y carpetas en un directorio dado.

El archivo "g" contiene la configuración del software malicioso formateado como JSONEl archivo "g" contiene la configuración del software malicioso formateado como JSON

La parte más interesante, con mucho, en ese paquete es la "chrome.exe". Tras la primera inspección, "chrome.exe" se parece sospechosamente a una copia del navegador Chrome real. Sólo la falta de una firma y la versión digital de información adecuada insinúa que este archivo no es el navegador Chrome real. Tras una posterior inspección, resultó que este archivo es un empaquetado NW.js aplicación.


El uso de tecnologías modernas basadas en la Web para ransomware


Entonces, ¿qué es NW.js exactamente?  NW.js es esencialmente un marco que le permite desarrollar aplicaciones de escritorio normales para Windows, Linux y MacOS X usando javascript. Está basada en los populares ode.js y cromo proyectos. Así, mientras que javascript es por lo general bien un recinto de seguridad en su navegador y en realidad no puede tocar el sistema se ejecuta en, NW.js permite mucho más control e interacción con el sistema operativo subyacente, lo que permite javascript para hacer casi todo lo "normal" de los lenguajes de programación como C ++ o Delphi pueden hacer. El beneficio para el desarrollador es que pueden convertir sus aplicaciones web en aplicaciones de escritorio normales con relativa facilidad. Para los desarrolladores de aplicaciones de escritorio normales que tiene la ventaja de que NW.js es capaz de ejecutar el mismo código javascript en diferentes plataformas. Por lo que un NW.js aplicación sólo necesita ser escrita una vez y es inmediatamente utilizable en Windows, Linux y MacOS X.


Esto también significa, que al menos en teoría, Ransom32 podría fácilmente ser empaquetado para Linux y Mac OS X. Una vez dicho esto en este momento no hemos visto ningún tipo de paquetes, que al menos por el momento hace Ransom32 más probable es que en Windows solamente. Otro gran beneficio para el autor de malware es que NW.js es un marco legítimo y aplicación. Así que no es de extrañar que  incluso casi 2 semanas después de que se creó por primera vez el malware, la cobertura de la firma sigue siendo muy mala .


Una vez Ransom32 llega en un sistema y se ejecuta, primero desempaquetar todos sus archivos en la carpeta de archivos temporales. A partir de ahí se copia en la carpeta "% \ AppData% navegador Chrome" directorio.Utiliza el archivo "s.exe" incluido para crear un acceso directo en la carpeta Inicio del usuario llamado "ChromeService" que se asegurará de que el malware está siendo ejecutado en cada arranque. El malware continuación, se iniciará el cliente Tor incluido para establecer una conexión con su mando y de control de servidor (servidor C2) escondido dentro de la red Tor en el puerto 85. Después de una conexión exitosa con el servidor de C2 a negociar el Bitcoin aborda el usuario afectado se supone para enviar el rescate a, así como el intercambio de la clave criptográfica utilizada para el cifrado, el malware con el tiempo se mostrará su nota de rescate.

 La nota de rescate mostrada por el malware La nota de rescate mostrada por el malware

A continuación, inicia el cifrado de los archivos del usuario. Todos los archivos con una de las siguientes extensiones de archivo están en la mira:


* .jpg, * .jpeg, * .raw, * .tif, * .gif, * .png, * .bmp, * .3dm, .max *, * .accdb, * .db, * .dbf, *. MDB, * .pdb, * .sql, *. * * SAV, *. * * SPV, *. * grle *, *. * mlx *, *. * SV5 *, *. * juego *, *. * ranura *, * .dwg, * .dxf, * .c, .cpp *, * .cs, * .h, * .php, .asp *, * .rb, * .java, * .jar, * .class, * .aaf, * .aep, * .aepx, * .PLB, * .prel, * .prproj, * .aet, * .ppj, * .psd, * .indd, * .indl, * .indt, *. INDB, .inx *, * .idml, * .pmd, * .xqx, .xqx *, * .ai, .eps *, * .ps, * .svg, * .swf, * .fla, * .as3, * .as, * .txt, * .doc, * .dot, * .docx, * .docm, .dotx *, * .dotm, .docb *, * .rtf, * .wpd * .wps, *. msg, * .pdf, * .xls, * .xlt, .xlm *, * .xlsx, * .xlsm * .xltx, .xltm *, * .xlsb, * .xla, .xlam *, * .xll, * .xlw, * .ppt, .pot *, * .pps, .pptx *, *, * .pptm .potx, .potm *, * .ppam, .ppsx *, * .ppsm, .sldx *, *. sldm, * .wav, * .mp3, * .aif, .IFF *, * .m3u, * .m4u, * .mid, * .mpa, * .wma, * .ra, * .avi, * .mov, * .mp4, .3gp *, * .mpeg, * .3g2, * .asf, .asx *, * .flv, * .mpg, * .wmv, * Vob, .m3u8 *, * .csv, *. EFX, .sdf *, * .vcf, * .xml, * .ses, * .dat


El malware no intentará cifrar los archivos si se encuentran en un directorio que contiene cualquiera de las siguientes cadenas:

    • : \ Windows \
    • : \ WINNT \
    • programdata \
    • bota\
    • temperatura\
    • tmp \
    • $ Recycle.bin \

Los archivos están siendo encriptados usando AES con una clave de 128 bits utilizando el CTR como un modo de bloque . Se está generando una nueva clave para cada archivo. La clave es cifrada utilizando el algoritmo RSA y una clave pública que está siendo obtenida del servidor C2 durante la primera comunicación.

 

Parte del intercambio entre el protocolo personalizado Ransom32 y su servidor de comando y control para el intercambio de dirección de Bitcoin (púrpura) y la clave pública (longitud amarillo, verde llave)Parte del intercambio entre el protocolo personalizado Ransom32 y su servidor de comando y control para el intercambio de dirección de Bitcoin (púrpura) y la clave pública (longitud amarillo, verde llave)

La clave de cifrado AES se almacena junto con los datos cifrados AES en el interior del archivo encriptado ahora.


El malware también ofrece para descifrar un archivo único para demostrar que el autor de malware tiene la capacidad de revertir el descifrado. Durante este proceso, el malware se enviará la clave de cifrado AES desde el archivo seleccionado al servidor C2 y obtiene la clave de descifrado AES por archivo a cambio.


¿Cómo puedo protegerme de Ransom32?


Como se explica en nuestro artículo reciente ransomware , la mejor protección sigue siendo una estrategia de copia de seguridad sólida y probada. Una vez más, sin embargo, la tecnología utilizada por el comportamiento bloqueador squared Anti-Malware y Emsisoft Internet Security resultó ser la segunda mejor defensa, ya que todos nuestros usuarios una vez más están protegidos de este y centenares de diferentes variantes de ransomware sin necesidad de firmas.

Los usuarios de a-squared Anti-Malware y Emsisoft Internet Security están protegidos de Ransom32 y otras familias ransomware por el bloqueador de comportamientoLos usuarios de a-squared Anti-Malware y Emsisoft Internet Security están protegidos de Ransom32 y otras familias ransomware por el bloqueador de comportamiento

Consideramos ransomware una de las mayores amenazas del año pasado y la intención de hacer todo lo posible para continuar nuestra excelente trayectoria en el próximo año, para mantener a los usuarios de protección posible. | Fuente Emsisoft  | Ver Ransomware Ataca A Sitios Web


Categorias: javascript / Noticias / Ransomware / Tutorial / Troyano
Añadir Comentario
Información
Usuarios que están en este grupo no pueden dejar comentarios en la página