• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Descifrado: Nuevo ransomware #AutoLocky intenta hacerse pasar por Locky

    Descifrado: Nuevo ransomware AutoLocky intenta hacerse pasar por Locky Un nuevo ransomware recientemente descubierto intenta hacerse pasar por el conocido ransomware Locky. Se llama a sí mismo Locky e incluso añade la extensión .Locky a ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Descifrado: Nuevo ransomware #AutoLocky intenta hacerse pasar por Locky

      Descifrado: Nuevo ransomware AutoLocky intenta hacerse pasar por Locky


      Un nuevo ransomware recientemente descubierto intenta hacerse pasar por el conocido ransomware Locky. Se llama a sí mismo Locky e incluso añade la extensión .Locky a los archivos cifrados, pero un examen más minucioso definitivamente señala que algo está fuera de lonormal. En primer lugar, la nota de rescate es completamente diferente y no utiliza Tor para la comunicación con sus servidores de comando y control. Cuando profundice en el analisis, supe que fue creado en el lenguaje script AutoIt en lugar de Visual C ++.


      Una vez más Fabian Wosar de Emsisoft se dio cuenta que al descompilar el script AutoIt, encontró una vulnerabilidad que podría aprovechar para descifrar los archivos afectados. Por desgracia, no se sabe en este momento cómo se distribuye AutoLocky.

      En el siguiente artículo voy a describir cómo descifrar sus archivos y proporcionar una breve descripción técnica del proceso de cifrado de AutoLocky. Para aquellos que quieran ver una lista de desencriptadores ransomware gratuitos de Emsisoft, pueden visitar su página de descifradores.

      Cómo eliminar AutoLocky y descifrar sus ficheros encriptados.

      Si usted está infectado con AutoLocky, lo primero que debe hacer es ver las propiedades de vínculo de la carpeta de inicio para determinar si se ejecuta en el inicio. Una vez que determine el nombre del ejecutable, inicie el Administrador de tareas y busque el proceso. A continuación, puede eliminar el archivo ejecutable asociado. El enlace de inicio lo puede encontrar en% USERPROFILE% \ AppData \ Menú Roaming \ Microsoft \ Windows \ Inicio \ Programas \ Inicio \ Start.lnk.

      Una vez que el proceso del ransomware se ha detenido y el vinculo de inicio eliminado, descargue el descifrador AutoLocky desde el enlace de abajo y guárdelo en su escritorio.


      Descargar Emsisoft Decrypter for Autolocky


      Una vez que lo haya descargado, haga doble clic sobre el ejecutable decrypt_autolocky.exe para iniciar el programa. El programa se inicia y puede ser que vea un mensaje UAC. Por favor, haga clic en el botón Sí para continuar. El programa se iniciará ahora y tratará de recuperar la clave de descifrado. Cuando lo haya encontrado, se mostrará una nueva ventana como la de abajo.


      Cuando pulse el botón Aceptar se le presentará un acuerdo de licencia que debe aceptar. Para continuar, pulse el botón OK y se mostrará la pantalla principal de AutoLocky Decryptor como se ve a continuación.


      Por defecto, el descifrador sólo descifrara los archivos en la unidad C. Si hay otras unidades con archivos cifrados, haga clic en el botón Añadir carpeta para añadir la unidad a la lista. Cuando esté listo, haga clic en Desencriptar para comenzar a descifrar sus archivos. Una vez que lo haga, el descifrador descifrará todos los archivos cifrados y mostrara el estado de descifrado en una pantalla de resultados como la de abajo.


      Todos sus archivos deberán ser descifrados pudiendo luego cerrar el descifrador.

      Para aquellos que deseen conocer más información técnica sobre este ransomware, puede leer lo siguiente.


      AutoLocky puede ser el primer cripto-ransomware creada en AutoIt


      Una de las características interesantes de este cripto-ransomware es que puede ser el primero en ser programado usando AutoIt. AutoIt es un lenguaje script que fue desarrollado originalmente para ayudar en las implementaciones "roll-out" de la PC. La disminución de horas en la programación lo ha convertido en un poderoso lenguaje que permite crear programas para casi cualquier tarea.

      Una de las debilidades de los programas malware creados en AutoIt es que pueden ser decompilados de nuevo para analizarlos. Esto permite a los investigadores ver el código casi exacto así como el script original que luego se compila en un ejecutable. El análisis del malware en su forma original lo convierte en algo trivial.


      El método de cifrado de AutoLocky

      Aún no se sabe cómo se distribuye el ransomware AutoLocky. El icono del ejecutable se hace pasar por un icono de PDF de Adobe, por lo que es posible que se distribuya a través de adjuntos de correo electrónico. Una vez instalado, AutoLocky se analizarán todas las unidades conectadas para buscar archivos de datos específicos y cifrarlos usando el algoritmo AES-128. Cuando se cifra un archivo, el ransomware anexará la extensión .locky al nombre del archivo. Por lo que el archivo, se convertiría en test.jpg test.jpg.locky. Los tipos de archivos seleccionados por el ransomware AutoLocky son:


      docm,docx,dot,doc,txt,xls,xlsx,xlsm,7z,zip,rar,jpeg,jpg,bmp,pdf,ppsm,ppsx,ppam,potm,potx,pptm,pptx,pps,pot,ppt,xlw,xll,xlam,xla,xlsb,xltm,xltx,xlm,xlt,xml,dotm,dotx,odf,std,sxd,otg,sti,sxi,otp,odg,odp,stc,sxc,ots,ods,sxg,stw,sxw,odm,oth,ott,odt,odb,csv,rtf,accdr,accdt,accde,accdb,sldm,sldx,drf,blend,apj,3ds,dwg,sda,ps,pat,fxg,fhd,fh,dxb,drw,design,ddrw,ddoc,dcs,wb2,psd,p7c,p7b,p12,pfx,pem,crt,cer,der,pl,py,lua,css,js,asp,php,incpas,asm,hpp,h,cpp,c,csl,csh,cpi,cgm,cdx,cdrw,cdr6,cdr5,cdr4,cdr3,cdr,awg,ait,ai,agd1,ycbcra,x3f,stx,st8,st7,st6,st5,st4,srw,srf,sr2,sd1,sd0,rwz,rwl,rw2,raw,raf,ra2,ptx,pef,pcd,orf,nwb,nrw,nop,nef,ndd,mrw,mos,mfw,mef,mdc,kdc,kc2,iiq,gry,grey,gray,fpx,fff,exf,erf,dng,dcr,dc2,crw,craw,cr2,cmt,cib,ce2,ce1,arw,3pr,3fr,mdb,sqlitedb,sqlite3,sqlite,sql,sdf,sav,sas7bdat,s3db,rdb,psafe3,nyf,nx2,nx1,nsh,nsg,nsf,nsd,ns4,ns3,ns2,myd,kpdx,kdbx,idx,ibz,ibd,fdb,erbsql,db3,dbf,db-journal,db,cls,bdb,al,adb,backupdb,bik,backup
      Cuando se ha terminado la encriptación de los archivos, se crearán las notas de rescate info.html y INFO.TXT en el escritorio de Windows. Una vez que se han creado las notas de rescate, entonces su clave de cifrado lo enviará al servidor de comando y control ubicado en crazyloading.cc.


      Curiosamente, este ransomware no trata de eliminar las instantáneas de volumen en el equipo infectado.

      Archivos Asociados a AutoLocky:

      %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk %UserProfile%\Desktop\info.html %UserProfile%\Desktop\info.txt
      Hosts Asociados a la red:

      crazyloading.cc
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: Descifrado: Nuevo ransomware #AutoLocky intenta hacerse pasar por Locky

      Una vez más, es para aplaudir el trabajo de Fabian Wosar de Emsisoft encontrando esos pequeños errores en la programación del ransomware para lograr descifrar los archivos afectados.

      Y sobre todo lo de luego compartir esos descubrimientos con la comunidad y hasta generando los Decrypters que luego comparte de manera totalmente gratuita.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.