• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 11

    PadCrypt: El primer ransomware con Chat en linea y con desinstalador

    PadCrypt: El primer ransomware con Chat en linea y con desinstalador Un nuevo ransomware fue descubierto por @ abuse.ch y se analizó adicionalmente por MalwareHunterTeam llamado PadCrypt que ofrece por primera vez una función de ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      PadCrypt: El primer ransomware con Chat en linea y con desinstalador


      Un nuevo ransomware fue descubierto por @ abuse.ch y se analizó adicionalmente por MalwareHunterTeam llamado PadCrypt que ofrece por primera vez una función de chat en linea y un desinstalador para sus víctimas. CryptoWall fue el primer ransomware que proporciona soporte al cliente en sus sitios de pago, pero el uso del Chat en línea de PadCrypt permite que las víctimas puedan interactuar con los desarrolladores de malware en tiempo real. Una característica de este tipo podría aumentar potencialmente la cantidad de pagos de las víctimas ya que pueden recibir "asistencia" guiandolos en el confuso proceso de hacer un pago.

      PadCrypt ofrece una característica Chat en linea

      Con el lanzamiento de PadCrypt, la atención al cliente es llevado a un nuevo nivel, los desarrolladores del malware ofrecen chat en vivo. En la pantalla principal del ransomware PadCrypt hay un enlace llamado Chat en Vivo como se muestra en la imagen de abajo.


      Si un usuario hace clic en la opción de chat en vivo, se abrirá otra pantalla que permite a la víctima enviar un mensaje a los desarrolladores. Cuando los desarrolladores respondan, su respuesta se mostrará en la misma pantalla.


      En este momento, los servidores de comando y control para PadCrypt están fuera de línea, por lo que el ransomware en realidad no va a cifrar nada a pesar de que se muestre la pantalla de encriptamiento del ransomware. Además, como el chat de soporte en tiempo real requiere un servidor C2 activa, la funcionalidad de chat en vivo tampoco es funcional.

      PadCrypt hace que sea fácil de eliminar la infección


      Para aquellos que deseen eliminar la infección, PadCrypt facilita también descargar e instalar un programa de desinstalación. Recientemente hemos visto un ransomware que le permite activar y desactivar la ejecución automática para ello, pero esta es la primera vez que hemos visto un ransomware que ofrece un programa de desinstalación también.

      Cuando se instala PadCrypt, un desinstalador también es descargado e instalado en% AppData% \ PadCrypt \ unistl.exe. Una vez que se ejecute el programa de desinstalación, eliminará todas las notas de rescate y los archivos asociados con la infección de PadCrypt. Por desgracia, todos los archivos encriptados permanecerán.

      Proceso de cifrado de PadCrypt

      PadCrypt se distribuye a través de spam que contiene un enlace a un archivo zip que contiene lo que parece ser un archivo PDF con un nombre como DPD_11394029384.pdf.scr. Este archivo PDF, sin embargo, es en realidad un ejecutable renombrado con extension .scr que cuando se ejecuta descarga los archivos package.pdcr, unistl.pdcr desde los servidores de comando y control ahora desactivado. Los servidores C2 conocidos utilizados por este ransomware incluyen a annaflowersweb.com, subzone3.2fh.co, y cloudnet.online. Package.pdcr es el ejecutable de PadCrypt y uninstl.pdcr es el programa de desinstalación. Ambos archivos se almacenarán en la carpeta% AppData% \ PadCrypt.

      Cuando se ejecuta el archivo principal PadCrypt.exe, se explorará las unidades locales de los archivos que coincidan con determinadas extensiones y encriptaran las mismas mediante el cifrado AES. Cualquier archivo que se cifra tendrá la extensión .ENC añadido a su nombre. PadCrypt también registrará el nombre de cualquier archivo cifrado en \ lista.txt archivo% AppData% \ PadCrypt. La lista de extensiones específicas son:

      pdf, gif, bmp, jpeg, jpg, png, doc, docx, ppt, ptx, psd, pdn
      Durante el proceso de cifrado, PadCrypt también eliminará las instantáneas de volumen en el equipo.

      Cuando se haya terminado el cifrado de los datos se va a crear un archivo llamado LEER IMPORTANTE me.txt en el escritorio que contiene instrucciones de rescate como se muestra a continuación.


      Por último, se mostrará la pantalla de rescate como se muestra a continuación.


      Esta pantalla de rescate proporciona instrucciones sobre cómo hacer el pago en Bitcoin 0.8 o un pago de $ 350 ~ a través de Ukash o Paysafecard. Las instrucciones también señalan que tiene 96 horas para efectuar el pago o será destruida la información.

      En este momento, actualmente se desconoce si hay una manera de descifrar estos archivos de forma gratuita.


      Archivos asociados con PadCrypt


      %Desktop%\IMPORTANT READ ME.txt %AppData%\PadCrypt\unistl.exe %AppData%\PadCrypt\decrypted_files.dat %AppData%\PadCrypt\File Decrypt Help.html %AppData%\PadCrypt\PadCrypt.exe %AppData%\PadCrypt\Files.txt
      Las entradas del registro asociado con PadCrypt

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe" HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp HKEY_CURRENT_USER\Control Panel\Desktop "WallpaperStyle" = 1 HKEY_CURRENT_USER\Control Panel\Desktop "TileWallpaper" = 0
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Habitual Avatar de aprenderás
      Registrado
      sep 2014
      Ubicación
      argentina
      Mensajes
      2.262

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      Un día va aparecer una empresa de rasomware más grande que Symantec. Ya no sé si felicitarlos o espantarme . Estos delincuentes sobrepasan el nivel de creatividad esperable.
      Los mitos de la seguridad informática a la luz del día: ¿Quién los organiza?... ¿Desde dónde salen los recursos para montar el circo? ¿Qué sería de las empresas de seguridad sin estas cosas? ......... ¿Imagino una fila de proxy y servidores remotos, pero nadie va poder rastrearlos?... ¿Esos chat son más seguros que el cliente IRC del Emule ?

    3. #3
      Usuario Avatar de leo3487
      Registrado
      feb 2010
      Ubicación
      Argentina
      Mensajes
      198

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      Con la sofisticacion que tienen, ese chat es más seguro que chatear con el soporte en línea de timofónica

    4. #4
      muf
      muf está offline
      Colaborador Avatar de muf
      Registrado
      jun 2011
      Ubicación
      Antofagasta
      Mensajes
      4.326

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      Hola compañeros

      Primero, gracias por la información @JoseAsuncion

      Cita Originalmente publicado por aprenderás Ver Mensaje
      Un día va aparecer una empresa de rasomware más grande que Symantec. Ya no sé si felicitarlos o espantarme . Estos delincuentes sobrepasan el nivel de creatividad esperable.
      Los mitos de la seguridad informática a la luz del día: ¿Quién los organiza?... ¿Desde dónde salen los recursos para montar el circo? ¿Qué sería de las empresas de seguridad sin estas cosas? ......... ¿Imagino una fila de proxy y servidores remotos, pero nadie va poder rastrearlos?
      Al leer el título, pensé lo mismo que tú @aprenderás.

      Lo único que falta es que tengan un call center al estilo de las empresas de telecomunicaciones

      Saludos
      muf
      *** Solo sé que nada sé ***

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      El ransomware PadCrypt está todavía vivo y coleando

      Cuando el ransomware PadCrypt fue descubierto por primera vez, los servidores existentes de mando y control para el ransomware fueron rápidamente apagados. A medida que se liberó no hubo actualizaciones por lo que se supuso que el desarrollador había renunciado a su proyecto. Pero por desgracia, parece que PadCrypt sigue vivo y coleando ya que se ha descubierto una nueva muestra del descargador la noche anterior en que se utilizó un nuevo servidor C2 en jodielane100.com. Se puede ver la comunicación entre la víctima y el nuevo servidor a continuación.


      También parece que el desarrollador está utilizando el chat en vivo para iniciar la conversación con las víctimas y no al revés. El desarrollador de software malicioso ha estado enviando mensajes a las víctimas advirtiéndoles de que si no pagan el precio de rescate éste se incrementará. Por desgracia, cuando los mensajes de chat se envían a la víctima no permite que se envíen nuevamente y no he podido obtener una captura de pantalla de la ventana de conversación del chat.

      Los valores hash para la nueva muestra son:

      2557accea9eb845043cf32e5b5c463dd MD5
      SHA-1 2ca03371ff8ac3c2d9003fec1a2a8b27894a6b0a
      d3bc529f4603ef4ecea0aef430a6e0f1ce24a75b496694bd5a8d6186a524e8e9 SHA-256
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de StarWars9600
      Registrado
      oct 2015
      Ubicación
      asdfa
      Mensajes
      370

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      Suerte que han creado Malwarebytes Malwarebytes Anti-Ransomware. Lo unico malo es que todavia esta en beta

    7. #7
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      seria bueno saber si el antiransomware detecta la variante ya que según el enlace a virustotal malwarebytes antimalware no lo detecta.
      Claro que, a veces sucede de que no es detectado por virus total pero si por el antivirus residente que tengas instalado, a mi me sucedio con un troyano que Norton detectaba y en virus total aparecía como no detectado por symantec.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      Cita Originalmente publicado por muf Ver Mensaje
      Lo único que falta es que tengan un call center al estilo de las empresas de telecomunicaciones
      Esto ya lo vienen teniendo desde hace años... obviamente cada red de ciberdelincuentes tienen sus diferentes formas, modelos y estas por lo general van cambiando dependiendo los resultados y para evitar ser detectados... pero algo muy común y comprobado es la utilización de empresas montadas que dicen realizar una tarea para el exterior, pero en su interior se cocina el malware y todo su mercado.

      Recuerdo una documentada en 2010 llamada "Innovative Marketing" de Ucrania, que generaba 180 millones de dólares en un año con la venta de falsos antivirus, falso optimizadores y que también estaban en el spam de viagra, entre otras cosas.

      "Innovative Marketing" de Ucrania añadió un departamento de recursos humanos, contrató personal interno y construyó un centro de llamadas para disuadir a sus víctimas de la búsqueda de reembolsos de tarjeta de crédito

      Grupos como Innovative Marketing construyen los virus y recoger el dinero, pero dejan el trabajo de distribuir su mercancía a los piratas informáticos externos.

      El resto de la historia está en: Profile of A Global Cybercrime Business – Innovative Marketing

      Y si bien estos ya han cerrado (en ese lugar y con ese nombre) al ser este un mercado que mueve millones de dólares, existen cientos de redes bien organizadas de cibercrimen figurando como si fueran empresas de internet que tienden a basarse en los países donde las leyes permiten tales actividades o son difíciles de comprobar.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      Cita Originalmente publicado por @JoseAsuncion Ver Mensaje
      seria bueno saber si el antiransomware detecta la variante ya que según el enlace a virustotal malwarebytes antimalware no lo detecta.


      Malwarebytes Anti-Ransomware, si, es capaz de detectar y bloquear a PadCrypt.



      Este no trabaja como los antivirus tradicionales, por lo que sus resultados no se van a ver nunca en VirusTotal ya que no es un motor de base de datos, sino una tecnología inteligente capaz de bloquear el ransomware al momento que este quiera comenzar a cifrar los archivos de un equipo o al momento de ser descargado.

      También es detectado por Malwarebytes Anti-Malware como Ransom.Agent.MSIL
      , pero también es difícil que lo puedas ver en VirusTotal ya que es detectado por heurística debido a que ese mismo malware tiene cientos de archivos diferentes con diferentes MD5.

      Por lo que cualquier usuario que utilice los 3 escudos de Malwarebytes...



      Estaría más que protegido para evitar cualquier intento de infección por un ransomware.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Usuario Avatar de StarWars9600
      Registrado
      oct 2015
      Ubicación
      asdfa
      Mensajes
      370

      Re: PadCrypt: El primer ransomware con Chat en linea y con desinstalador

      Cita Originalmente publicado por @MarceloRivero Ver Mensaje
      [SIZE=3]
      Por lo que cualquier usuario que utilice los 3 escudos de Malwarebytes...



      Estaría más que protegido para evitar cualquier intento de infección por un ransomware.


      Salu2
      ¿Poner la version Premium de Malwarebytes junto con Bitdefender seria demasiado?

    Página 1 de 2 12 ÚltimoÚltimo