• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit Kit

    CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit Kits Un nuevo CryptoMix, o CrypMix, variante llamada CryptoShield 1.0 ransomware ha sido descubierto por el investigador de seguridad Proofpoint Kafeine se distribuye a través de ...

          
    1. #1
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.335

      CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit Kit

      CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit Kits


      Un nuevo CryptoMix, o CrypMix, variante llamada CryptoShield 1.0 ransomware ha sido descubierto por el investigador de seguridad Proofpoint Kafeine se distribuye a través de EITest y el RIG exploit kit.

      Como nota, en este artículo voy a llamar a este CryptoShield ransomware como lo más probable es que la víctima se refieren a ella. Es importante recordar, sin embargo, que este ransomware no es una nueva infección, sino más bien una variante de la familia CryptoMix ransomware.

      Cómo la víctima se infecta con CryptoShield 1.0

      CryptoShield está siendo distribuido a través de los sitios que han sido manipulados o comprometidos de manera que cuando un visitante va al sitio, se encontrarán con la cadena de ataque EITest. EITest es un código de ataque JavaScript que se inyecta en los sitios de manera que será ejecutado por los visitantes. En la cadena de ataque observado por Kafeine, EITest cargará el RIG explotar kit que descargará más e instalar el ransomware CryptoShield en el equipo visitante.

      Este ataque puede ser visto por debajo de donde el visitante va al sitio comprometido y encontrar la secuencia de comandos EITest. Esta secuencia de comandos a continuación, pone en marcha el código de otro sitio que activa el paquete de exploits para instalar CryptoShield.

      Rig Exploit Kit de tráfico
      Fuente: Kafeine


      Como los kits de exploit utilizan vulnerabilidades en el programa instalado para infectar una computadora, es importante que los usuarios se aseguren de que todos los programas tengan las actualizaciones actuales instaladas. Esto es especialmente cierto para aquellos programas que interactúan con documentos o sitios en línea. Esto significa que las actualizaciones para programas como Adobe Flash y Reader, Oracle Java y Windows siempre deben estar instaladas cuando estén disponibles.


      Cómo la Variante CryptoShield 1.0 cifra los archivos de una víctima

      Una vez descargado y ejecutado el ejecutable de ransomware en la computadora de la víctima, generará un ID exclusivo para la víctima y una clave de cifrado. La infección a continuación, cargar el ID único y clave de cifrado privada a su servidor de comandos y control. A continuación, procederá a escanear el equipo para los archivos de destino y encriptarlos.

      Cuando CryptoShield encuentra un archivo de destino, lo cifrará utilizando el cifrado AES-256, cifrará el nombre de archivo mediante ROT-13 y añadirá la extensión .CRYPTOSHIELD al archivo cifrado. Por ejemplo, un archivo llamado test.jpg sería cifrado y renombrado como grfg.wct.CRYPTOSHIELD. Puede descifrar los nombres de archivo utilizando cualquier encriptor ROT-13, como rot13.com.

      En cada carpeta en la que CryptoShield cifra un archivo, también creará notas de rescate denominadas # RESTORING FILES # .HTML y # RESTORING FILES # .TXT.

      Los archivos cifrados



      Durante este proceso, el ransomware emitirá los siguientes comandos para desactivar la recuperación de inicio de Windows y para borrar las instantáneas de volumen de Windows Shadow como se muestra a continuación.

      cmd.exe /C bcdedit /set {default} recoveryenabled No
      cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
      C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
      "C:\Windows\System32\cmd.exe" /C net stop vss
      CryptoShield continuación, se mostrará una alerta falsa que indica que hubo un error de aplicación en Explorer.exe. Al principio, no estaba seguro de si se trataba de un error producido por el ransomware o simplemente un estrellarse explorer.exe. A medida que lea la alerta de cerca, sin embargo, se puede ver faltas de ortografía como "momory" y una extraña petición que usted debe hacer clic en el botón Sí en la ventana siguiente "para restaurar explorer.exe trabajo". El Inglés roto realmente debería haber sido el regalo para mí.

      Alerta Explorer.exe falsa



      Una vez que se pulsa OK en el mensaje anterior, se le presentará con un mensaje del Control de cuentas de usuario, que le pregunta si desea permitir que el comando "C: \ Windows \ SysWOW64 \ wbem \ Wmic.exe" llamado proceso de creación de "C: \ Users \ usuario \ SmartScreen.exe " para ejecutar. Esto explica por qué se estaba mostrando la alerta previa; para convencer a la víctima de que deben hacer clic en el botón en el símbolo de abajo UAC.

      UAC para el lanzamiento de la SmartScreen.exe



      Una vez que la víctima hace clic en , el ransomware comenzará de nuevo y mostrará la nota # RESTORING FILES # .HTML, que se muestra a continuación.

      HTML Nota de rescate



      Esta nota de rescate contiene información sobre lo que sucedió a sus archivos, una identificación personal y tres direcciones de correo electrónico que pueden utilizarse para ponerse en contacto con el desarrollador de rescate para obtener instrucciones de pago. Las direcciones de correo electrónico actuales son [email protected], [email protected] y [email protected]

      Lamentablemente, como ya se ha dicho, no hay manera de descifrar los archivos cifrados por CryptoShield de forma gratuita.


      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de julius37
      Registrado
      feb 2015
      Ubicación
      España
      Mensajes
      130

      Re: CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit

      ufff, muchas gracias por la info, daniela

      un saludo

    3. #3
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      334

      Re: CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit

      Gracias por la noticia!

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit

      CryptoShield esta nueva variante del ransomware CryptoMix pareciera estar siendo bastante distribuida en estos momentos en donde se están reportando cientos de usuarios afectados...



      Como bien se comenta en la nota, para CryptoShield aun no existe herramienta gratuita de recuperación de los archivos, por lo que lo mas importante es la prevención.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.