• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    El ransomware Fantom cifra sus archivos mientras finge ser Windows Update

    El ransomware Fantom cifra sus archivos mientras finge ser Windows Update Un nuevo ransomware llamado Fantom fue descubierto por el investigador de malware de AVG Jakub Kroustek que se basa en el proyecto ransomware de ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      El ransomware Fantom cifra sus archivos mientras finge ser Windows Update

      El ransomware Fantom cifra sus archivos mientras finge ser Windows Update



      Un nuevo ransomware llamado Fantom fue descubierto por el investigador de malware de AVG Jakub Kroustek que se basa en el proyecto ransomware de código abierto EDA2. El ransomware Fantom utiliza una característica interesante al mostrar una pantalla falsa de Windows Update que pretende que Windows está instalando una nueva actualización crítica. En el fondo, sin embargo, Fantom está cifrando en secreto los archivos de la víctima sin que se dé cuenta.

      Desafortunadamente, no hay manera de descifrar en la actualidad el ransomware Fantom y los métodos usuales para obtener las claves EDA2 ransomware base no están disponibles con esta variante.
      Fantom se disfraza como una actualización crítica de Windows

      Los desarrolladores detrás del ransomware Fantom hacen un esfuerzo extra para ocultar la actividad maliciosa haciendo pretender que el programa es una actualización crítica para Windows. Para añadir legitimidad a sus acciones, las propiedades del archivo del ransomware afirma que es de Microsoft y se llama actualización crítica.


      Cuando se ejecuta, el ransomware va a extraer y ejecutar otro programa llamado WindowsUpdate.exe incrustado que muestra la pantalla falsa de Windows Update a continuación. Esta pantalla se superpone a todas las ventanas activas y no permite cambiar a cualquier otra aplicación abierta.


      La pantalla falsa de actualización anterior también contiene un contador de porcentaje que aumenta a medida que el ransomware silenciosamente cifra los archivos de la víctima en el fondo. Esto se hace para hacer que parezca que se va a instalar la actualización falsa y para proporcionar una razón para el aumento de la actividad en los discos duros de la víctima.

      Es posible cerrar esta pantalla utilizando la combinación de teclas Ctrl + F4. Esto dará por terminado el proceso de actualización de Windows falso y mostrar la pantalla normal de Windows, pero el ransomware continuará el cifrado de archivos en segundo plano.

      Cómo el ransomware Fantom cifra un ordenador

      Gracias a MalwareHunterTeam , que deofuscó el código para Fantom y proporcionó algunos análisis, podemos ver fácilmente cómo el ransomware realiza su cifrado. Al igual que otros ransomware basado en EDA2, se generará una clave aleatoria AES-128, cifrado que utiliza el sistema RSA, y luego lo subirá a los servidores de mando y control de los desarrolladores del malware.

      A continuación, comenzará a escanear las unidades locales de los archivos que contienen las extensiones de archivo y realizará la encriptación de las mismas mediante el cifrado AES-128. Cuando se cifra un archivo se añadirá la extensión .fantom al archivo encriptado. Por ejemplo, apple.jpg estaría cifrada en un archivo denominado apple.jpg.fantom. En cada carpeta que se cifra un archivo, sino que también creará una nota DECRYPT_YOUR_FILES.HTML de rescate.
      Fantom también creará dos archivos por lotes que se ejecutan cuando se termina el cifrado. Estos archivos por lotes, eliminarán las instantáneas de volumen y la falsa actualización ejecutable de Windows.


      Por último, el ransomware mostrará la nota de rescate llamado DECRYPT_YOUR_FILES.HTML que incluye el ID clave de la víctima y proporcionará instrucciones para [email protected] o [email protected] el fin de recibir las instrucciones de pago por correo electrónico.


      Tengo que señalar que este ciber criminal, obviamente, no tiene un buen dominio del idioma Inglés ya que la gramática y redacción podría ser uno de los peores que he visto en una nota de rescate hasta la fecha.

      Por último, el ransomware descargará una imagen y lo guardará en% UserProfile% \ 2d5s8g4ed.jpg. Esta imagen se ha descargado desde la siguiente dirección URL, que puede proporcionar una pista acerca de la identidad del desarrollador:
      http://content.screencast.com/users/Gurudrag/folders/Default/media/9289aabe-7b4a-4c7f-b3bb-bdf3407e7a2f/fantom1.jpg

      Esta imagen se utilizará entonces como imagen de fondo de Windows la cual se muestra a continuación.


      Los archivos creados por el ransomware Fantom:

      %AppData%\delback.bat [Executable_Path]\WindowsUpdate.exe [Executable_Path]\update.bat %UserProfile%\2d5s8g4ed.jpg

      Las entradas del registro creadas por el ransomware Fantom:

      HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg" HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

      La Red de comunicacion:

      http://powertoolsforyou.com/themes/prestashop/cache/stats.php http://templatesupdates.dlinkddns.com/falssk/fksgieksi.php
      Los hashes:

      SHA256: f4234a501edcd30d3bc15c983692c9450383b73bdd310059405c5e3a43cc730b
      Las extensiones de archivo específicas:
      .001, .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .apk, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .aspx, .asr, .asset, .avi, .avs, .bak, .bar, .bay, .bc6, .bc7, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .bkp, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsa, .bsp, .cag, .cam, .cap, .car, .cas, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cfr, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das, .dayzprofile, .dazip, .db0, .dbb, .dbf, .dbfv, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dmp, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .epk, .eps, .eql, .erf, .err, .esm, .euc, .evo, .ex, .exif , .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flac, .flp, .flv, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .gif, .grf, .gthr, .gz, .gzig, .gzip, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .idx, .ifo, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .kdb, .kdc, .kf, .kmz, .kwd, .kwm, .layout, .lbf, .lbi, .lcd, .lcf, .ldb, .lgp, .litemod, .log, .lp2, .lrf, .ltm, .ltr, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .md, .md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mic, .mip, .mkv, .mlx, .mod, .mov, .moz, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .msg, .msp, .mxp, .nav, .ncd, .ncf, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .ntl, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .odtb .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pkpass, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .psk, .pst, .ptx, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qbb, .qdf, .qel, .qic, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .rb, .re4, .res, .rev, .rgn, .rgss3a, .rim, .rng, .rofl, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .sb, .sc2save, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .slt, .snp, .snx, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sum, .svg, .svi, .svr, .swd, .swf, .syncdb, .t12, .t13, .tar, .tax, .tax2015, .tax2016, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tor, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unity3d, .unr, .unx, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdf, .vdo, .ver, .vfs0, .vhd, .vmf, .vmt, .vob, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xf, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .xxx, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo, .ztmp
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      329

      Re: El ransomware Fantom cifra sus archivos mientras finge ser Windows Update

      Gracias por la info!