• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    El ransomware Nemucod utiliza JavaScript y PHP para infectar a los usuarios

    El ransomware Nemucod utiliza JavaScript y PHP para infectar a los usuarios El ransomware Nemucod hace una reaparición después que los investigadores de seguridad quebraran una de sus iteraciones anteriores La última versión del ransomware ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      El ransomware Nemucod utiliza JavaScript y PHP para infectar a los usuarios

      El ransomware Nemucod utiliza JavaScript y PHP para infectar a los usuarios


      El ransomware Nemucod hace una reaparición después que los investigadores de seguridad quebraran una de sus iteraciones anteriores



      La última versión del ransomware Nemucod utiliza una combinación de código en JavaScript y PHP para infectar a los usuarios y cifrar sus archivos.


      Nemucod hizo su aparición por primera vez en marzo del 2015, y en el cual, el malware es catalogado como un simple Dropper. Dropper, también llamados descargadores de malware, son los causantes de infecciones, o cargadores de infecciones, siendo estos familias de malware simplistas especializados en el proceso de "infección" y nada más. Después de que esto ocurre, entonces se descarga un software malicioso más potente.

      Para este artículo, cuando decimos Nemucod, nos estamos refiriendo a una variante del ransomware ya que los investigadores observaron que este es más que un simple dropper.

      Primera variante del ransomware Nemucod era sencillo descodificarse

      El ransomware Nemucod fue visto por primera vez en marzo pasado, cuando el investigador de squared Fabian Wosar vulnero una de sus versiones anteriores y ofreció un descifrador gratuito.

      Desde entonces, el ransomware Nemucod ha ido evolucionando, con nuevas versiones que aparecen a intervalos regulares, pero aún así el uso de la extensión .crypted augura su presencia en los sistemas infectados.

      De acuerdo con los investigadores de Intel security, la última versión utiliza una combinación de código JS y PHP para bloquear los archivos de las personas.

      Nemucod viene con un intérprete PHP integrado

      Nemucod se distribuye de la misma manera que antes. Los usuarios reciben mensajes de spam que contienen archivos ZIP, los cuales, a su vez, tienen un archivo JavaScript. La ejecución de este archivo inicia el proceso malicioso del ransomware.

      El archivo JS descargará cinco archivos en el PC del usuario: a.exe, a1.exe, a2.exe, a.php, y php4ts.dll.

      Tan pronto como se descarga el archivo final, el archivo JS lanza en ejecucción a.exe, que es el intérprete PHP 4.4.9.9, y php4ts.dll, que contiene diversas dependencias.

      Teóricamente, esta versión de Nemucod debe ser fácil de descifrar

      El código malicioso JS también alimenta el archivo a.php a a.exe. El archivo contiene el código malicioso a.php del ransomware, que va a escanear el disco duro del usuario, separando las carpetas sensibles a un lado, y luego comenzará el cifrado de archivos que terminan con una extensión específica.

      De acuerdo a Intel security , el proceso de cifrado utiliza XOR de un solo byte, que, en teoría, debería ser fácil de utilizar ingeniería inversa para luego desbloquear los archivos del usuario.
      Una vez que terminan todas las operaciones, el archivo a.php crea el archivo a.txt, que es la nota de rescate, y lo coloca en el escritorio del usuario. Los ladrones están pidiendo a las víctimas pagar 0,3707 Bitcoin (~ $ 245).

      ACTUALIZACIÓN [Junio 21, 2016]: Aprovechando @MalwareHunterTeam amplio su experiencia 's con la ingeniería inversa del malware, el investigador nos dijo que este podría ser el primer ransomware de escritorio que utiliza PHP para las operaciones de cifrado. Anteriormente, el ransomware basado en PHP estaban dirigidos sólo a los servidores Web.

      Por otra parte, el primero en detectar la variante de PHP Nemucod era un investigador de seguridad llamado @Antelox , que escribió una entrada en el blog de ReaQta hace dos semanas, y creó un descifrador gratuito que puede ayudar a desbloquear sus archivos.

      Fuente: Softpedia
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      334

      Re: El ransomware Nemucod utiliza JavaScript y PHP para infectar a los usuarios

      Muchas gracias por la noticia!