• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    El ransomware Chimera utiliza un servicio de descifrado Peer-to-Peer

    El ransomware Chimera utiliza un servicio de descifrado Peer-to-Peer Durante las últimas dos semanas ha habido una gran cantidad de información en relación con el ransomware Chimera y sus amenazas para publicar sus datos en ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      El ransomware Chimera utiliza un servicio de descifrado Peer-to-Peer

      El ransomware Chimera utiliza un servicio de descifrado Peer-to-Peer



      Durante las últimas dos semanas ha habido una gran cantidad de información en relación con el ransomware Chimera y sus amenazas para publicar sus datos en línea. Aunque se trata de una amenaza de infundir miedo, la realidad es que Chimera no tiene la capacidad de publicar sus archivos en cualquier lugar. Esta táctica de miedo, sin embargo, no es lo que hace a Chimera interesante. En cambio, es su enfoque novedoso para la distribución de claves de descifrado a las víctimas que han pagado como aplicación de mensajería peer-to-peer bitmessage.

      A diferencia de otras infecciones ransomware, Chimera no tiene un sitio TOR que los usuarios donde puedan gestionar sus pagos y descargar un descifrador. En su lugar, utiliza bitmessage Quimera una aplicación peer-to-peer de mensajería para la comunicación entre el ordenador de la víctima y el servidor de comando y control de los desarrolladores del software malicioso. Esto crea un servicio de descifrado que es increíblemente portátil, seguro, y difícil, si no imposible, para acabar como sus pares en la red que están ayudando a distribuir las claves.

      Para entender mejor cómo funciona Chimera en primer lugar hay una cartilla rápida en bitmessage. Bitmessage es una aplicación de mensajería peer-to-peer que permite a un usuario enviar mensajes cifrados de forma anónima que sólo puede ser descifrado por el receptor. Cuando se envía un mensaje a alguien en bitmessage es codificada por la dirección del destinatario, que es también su clave de cifrado pública, y se envía a cada cliente en la red peer-to-peer bitmessage. Un cliente mediante bitmessage recibe el mensaje que intenta desencriptar usando sus propias claves privadas. Si un cliente es capaz de descifrar el mensaje, el cliente sabrá que el mensaje estaba destinado para ellos y lo muestra en la bandeja de entrada. Dado que estos mensajes se transfieren a través de cada cliente conectado a la red, la ubicación y la identidad del emisor se mantiene privada la dirección de identificación no personal.


      Gracias al análisis realizado por Fabian Wosar de Emsisoft , somos capaces de ver cómo Quimera utiliza bitmessage como su método de comunicación con el creador del ransomware. Cuando Quimera infecta a un usuario utiliza una aplicación PyBitmessage incorporado para enviar un bitmessage a la promotora que contiene información de la clave privada de la víctima, el identificador de hardware de la víctima, y ​​la dirección de pago en Bitcoin de la víctima. De acuerdo con Fabian, el "ID del hardware es un hash basado en las tarjetas de red locales en ese sistema, el número de serie del volumen del volumen de inicio, y el nombre del equipo".

      Quimera entonces comenzará a cifrar cualquier archivo de datos que encuentre en las unidades conectadas. El análisis por Nathan Scott muestra que sólo los archivos con las siguientes extensiones serán codificadas:


      .jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf
      Después que los archivos estén encriptados, Quimera mostrará una nota de rescate que explica lo que ha sucedido a los archivos de la víctima, dando instrucciones sobre cómo realizar un pago, y un enlace al descifrador que debe estar en ejecución para descifrar los archivos cuando el pago ya haya sido hecho.

      Cuando un usuario descargue e instale el descifrador, se instalará en el directorio C: \ Archivos de programa (x86) carpeta \ Chimera Decrypter junto con la solicitud de bitmessage. Una vez iniciado, se buscará los archivos cifrados y luego le enviará a una página donde pueda realizar el pago. Chimera es capaz de detectar si un pago se ha realizado mediante la conexión periódicamente por Blockchain.info comprobando el identificador en dirección bitcoin asignado a la víctima.


      Una vez que se ha detectado un pago, la pantalla cambiará para indicar que se realizó un pago y que usted debe dejar el descifrador en marcha hasta que la llave sea enviada a la misma. En este punto, el descifrador también crea una suscripción bitmessage a la dirección BM-2cWsXQDYSueEKCtcJS8wzAka3KiYYYC9rB y lo etiquetará en PaymentBroadcast. Una suscripción bitmessage permite al propietario una suscripción a los mensajes de difusión a todos los abonados. En este caso, el desarrollador de software malicioso lo utilizará para enviar un mensaje de difusión que contiene las claves privadas para las víctimas que hayan pagado y que aún no hayan descifrado sus archivos.


      Cuando el desarrollador de software malicioso determina que un pago se ha hecho, crea una nueva línea en el mensaje que contiene el identificador de hardware de la víctima y la clave BASE64 privada codificada separada por dos puntos y la envía a todos los abonados de la suscripción PaymentBroadcast. Un ejemplo de un par de claves de identificación de hardware y descifrado se puede ver a continuación.

      56209A92A96E9F96B0D9E6F962D0D9EF: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
      Como se puede ver en el mensaje anterior, el identificador de hardware y la clave privada de descifrado están separadas por dos puntos. Durante el período de tiempo que Fabian estaba monitoreando esta emisión de suscripción, había 13 claves siendo distribuidas como se muestra a continuación.


      Cuando el descifrador ha sido recibido mediante la suscripción de emisión en un mensaje aparte con los distintivos del ID del hardware y sus pares, se verifica que la clave privada y el ID del hardware de la víctima coincida con cualquiera de los que han sido enviados en PaymentBroadcast. Si se detecta que su identificador de hardware es el correcto, se decodifica la clave del descifrador, enviando un mensaje de vuelta al desarrollador del software malicioso para indicar que la clave ha sido recibida.

      Puede ver el código que decodifica el método de suscripción, extrayendo la clave, y notificando al desarrollador a continuación:

      foreach (InboxBitMessage inboxBitMessage in this._bitMessageApiClient.GetAllInboxMessages())
      {
      if (inboxBitMessage.From.Equals("BM-2cWsXQDYSueEKCtcJS8wzAka3KiYYYC9rB") && inboxBitMessage.Subject.Equals("PaymentBroadcast"))
      {
      string content = inboxBitMessage.Content;
      char[] chArray = new char[1]
      {
      '\n'
      };
      foreach (string str in content.Split(chArray))
      {
      try
      {
      string[] strArray = str.Split(':');
      if (strArray[0].Equals(message))
      {
      this.MainWindowViewModel.Session.PrivateKey = strArray[1];
      this._bitMessageApiClient.SendMessage("BM-2cWsXQDYSueEKCtcJS8wzAka3KiYYYC9rB", this._bitMessageApiClient.CreateRandomAddress("Address", false, 1, 1), "DecryptionMessage", message, 2);
      this.Running = false;
      break;
      }
      }
      catch
      {
      }
      }
      }
      }
      Una vez que el descifrador es capaz de recuperar la clave para la víctima automáticamente comienza a descifrar los archivos cifrados.

      Como se puede ver, el uso de bitmessage es un nuevo enfoque para la gestión de la distribución de las claves de descifrado, ya que no requiere un servidor dedicado, oculta la identidad del desarrollador del software malicioso, y es muy difícil, si no imposible, saber quien es y su ubicación. En el momento de escribir estas líneas no se ha visto que el ransomware Quimera esté aún activo, pero con el éxito de este método de distribución, no se sorprendería de encontrar malware a futuro que lo utilicen.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      328

      Re: El ransomware Chimera utiliza un servicio de descifrado Peer-to-Peer

      Muchas gracias por la noticia JoseAsuncion , vaya creatividad que tienen esos HDPTS.

    3. #3
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: El ransomware Chimera utiliza un servicio de descifrado Peer-to-Peer

      Gracias a ti compañero. El ransomware Chimera (Quimera) cuando encripta los archivos le coloca la extensión . crypt

      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.