• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Nuevo ransomware CryptoBit podría ser descodificado

    Nuevo ransomware CryptoBit podría ser descodificado Los investigadores aún están analizando mediante ingeniería inversa al malware PandaLabs, el laboratorio antimalware de Panda Security, ha detectado un nuevo tipo de ransomware que según opinan se podría ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Nuevo ransomware CryptoBit podría ser descodificado

      Nuevo ransomware CryptoBit podría ser descodificado


      Los investigadores aún están analizando mediante ingeniería inversa al malware




      PandaLabs, el laboratorio antimalware de Panda Security, ha detectado un nuevo tipo de ransomware que según opinan se podría utilizar la ingeniería inversa para permitir a los usuarios recuperar sus archivos.

      Nombrado como CryptoBit, esta variante en particular, el ransomware infecta a los usuarios a través de exploits. Las primeras infecciones aparecieron a principios de abril, y los investigadores de seguridad afirman que el ransomware es algo extraño en su modo de funcionamiento.

      Después de la infección, CryptoBit analizará en primer lugar los archivos que tienen extensiones particulares. Por defecto, se buscará 96 tipos diferentes de archivos, tales como imágenes, carpetas de archivos, bases de datos y documentos de office.

      CryptoBit utiliza el cifrado AES + RSA

      Una vez que CryptoBit identifica todos los archivos valiosos, se procederá a cifrar usando el algoritmo AES, que emplea una de las claves para el cifrado y el descifrado.

      Luego la clave de cifrado AES se cifrará con un algoritmo RSA, que es un modelo de cifrado de doble llave que utiliza una clave diferente para el cifrado (clave pública) y otra para la desencriptación (clave privada). Los investigadores señalan que la clave privada probablemente sea enviada a un servidor controlado por el autor del ransomware.

      Después de que termine el proceso de cifrado, CryptoBit mostrará una nota de rescate como el de abajo, indicando al usuario que sus archivos se encriptaron y que deben ponerse en contacto con el autor del ransomware a través de una dirección de correo electrónico o mediante la red bitmessage, utilizando una identificación especial.


      En comparación con otras familias ransomware, CryptoBit es muy codicioso, pidiendo la friolera de 2 Bitcoin (~ $ 850). La mayoría de las familias ransomware en estos días sólo piden de 0,5 (~ $ 215), a un máximo de 1 Bitcoin (~ $ 425).

      CryptoBit puede tener un defecto

      De acuerdo con los investigadores de PandaLabs, puede haber una falla en CryptoBit.

      "Nos damos cuenta de un detalle específico: la ausencia de llamadas a las bibliotecas nativas que encriptan los archivos usando el algoritmo RSA," según dijeron los investigadores de PandaLabs. "CryptoBit utiliza una serie de rutinas compiladas estáticamente que le permiten operar con números extensos (" grandes números "), por lo que es posible reproducir el algoritmo de cifrado RSA."

      Como se ve en este momento, puede ser posible para los investigadores de seguridad mediante ingeniería inversa revertir las operaciones de cifrado RSA personalizados del ransomware y recuperar el archivo original cifrado mediante AES.

      Los usuarios no deben confundir este ransomware con otra familia de CryptoBit llamada CryptorBit, que estaba muy activo en el 2014.


      Fuente: Softpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: Nuevo ransomware CryptoBit podría ser descodificado

      Me toco analizar una muestra de CryptoBit (VirusTotal) y pareciera una variante amateur comparada con otros que son pro como TeslaCrypt.

      Por ejemplo, a las imágenes, al cifrarlas las imágenes quedan en el equipo viéndose la miniatura exactamente igual, y al tratar de abrirlas estas se muestras distorsionadas, ósea que no se ven correctamente... pero falla en no volver a mostrar el mensaje de que los archivos están encriptados al reiniciar.

      En el caso de los .ZIP lo mismo, no les agrega extensión extra y solo marca un error común de Windows a la hora de querer verlos, pero nuevamente no muestra el mensaje de que están encriptados y hay que pagar, por lo que la víctima es muy difícil que se percate y que termine pagando, por lo que tampoco sería bueno para sus creadores.

      En fin, lo bueno es que el radio de infección y distribución de este es más bien muy poco y dudo que podamos ver usuarios afectados con este CryptoBit.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.