• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    El ransomware Nullbyte pretende ser la aplicación Pokemon Go

    El ransomware Nullbyte pretende ser la aplicación Pokemon Go Una nueva variante del ransomware DetoxCrypto llamada Nullbyte ha sido descubierta por el investigador de seguridad de squared, xXToffeeXx , que pretende ser la popular aplicación ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      El ransomware Nullbyte pretende ser la aplicación Pokemon Go

      El ransomware Nullbyte pretende ser la aplicación Pokemon Go


      Una nueva variante del ransomware DetoxCrypto llamada Nullbyte ha sido descubierta por el investigador de seguridad de squared, xXToffeeXx , que pretende ser la popular aplicación Pokemon Go llamada NecroBot, cuando se infecta, el ransomware cifrará los archivos de la víctima y luego exigirá 0.1 bitcoins para descifrar los archivos . Afortunadamente, Michael Gillespie fue capaz de crear un descifrador para que las víctimas puedan obtener sus archivos de nuevo de forma gratuita.

      Este ransomware se distribuye a partir de un proyecto de Github que pretende ser una versión reconstruida de la aplicación NecroBot con la esperanza de que la gente lo descargará pensando que era la aplicación legítima.


      Cuando alguien descarga y ejecuta la aplicación se mostrará la interfaz estándar de NecroBot pidiendo a la víctima iniciar sesión.


      Si alguna información de acceso, real o falso, se introduce y se pulsa el botón de inicio de sesión, el programa pretenderá acceder a los servidores de NecroBot. En el fondo, sin embargo, el ransomware va a robar las credenciales introducidas cargándolos en el servidor de comando y control y luego comenzará a cifrar los archivos de la víctima.


      Cuando haya terminado, el ransomware, visualizará la pantalla de bloqueo, que insta al usuario a pagar 0.1 bitcoins para descifrar los archivos.


      El proceso de cifrado del ransomware Nullbyte

      De acuerdo con el análisis posterior de MalwareHunterTeam, el ransomware Nullbyte cifrará los archivos mediante el cifrado AES y luego añadirá la extensión _ nullbyte a los archivos cifrados. Por ejemplo, se convertiría test.jpg en test.jpg_nullbyte cuando esté cifrado el archivo.


      Durante el cifrado de archivos, el ransomware Nullbyte cifrará cualquier archivo que se encuentra en la carpeta siguiente:

      %USERPROFILE%\Documents
      %USERPROFILE%\Downloads
      %USERPROFILE%\Favorites
      %USERPROFILE%\Pictures
      %USERPROFILE%\Music
      %USERPROFILE%\Videos
      %USERPROFILE%\Contacts
      %USERPROFILE%\Desktop
      Mientras se ejecuta, este ransomware también se terminará los procesos de Chrome, cmd, taskmgr, Firefox, iexplore, y ópera. Esto se hace para que sea difícil quitar el ransomware o se pueda buscar ayuda en la web.

      Por último, pero no menos importante, el ransomware generará una captura de pantalla de las pantallas activas de Windows y lo subirá al servidor de comando y control del ransomware. En este momento, no se sabe cómo se utiliza la pantalla, pero podría ser utilizado para un posible robo de información o chantaje.

      Desencriptando el ransomware Nullbyte

      Afortunadamente, Michael Gillespie fue capaz de crear un descifrador para el ransomware Nullbyte. Las instrucciones sobre cómo utilizar el descifrador se pueden encontrar en la Ayuda y soporte del tema sobre el ransomware Nullbyte.

      A continuación, se muestra una captura de pantalla del descifrador para descifrar los archivos cifrados por este ransomware.

      Archivos asociados con el ransomware Nullbyte

      %UserProfile%\Desktop\DecryptInfo.exe %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost32.exe %UserProfile%\Documents\bg.jpg %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DecryptInfo.exe %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enhost32.exe
      IOC:

      SHA256: 96992b32a1bd469dfb778d8d2d1a24dbc41d5adc11d05efa659e6c85de0f50ad
      Tráfico de red:

      https://tools.feron.it/php/ip.php ftp://ftp.taylorchensportfolio.netai.net/DECRYPTINFO-LAUNCHED ftp://ftp.taylorchensportfolio.netai.net/DECRYPT-REQUEST

      Última edición por @JoseAsuncion fecha: 07/09/16 a las 13:08:06 Razón: link
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      334

      Re: El ransomware Nullbyte pretende ser la aplicación Pokemon Go

      Gracias por la info!