• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Erebus Ransomware utiliza un bypass de UAC y solicita un pago de rescate de $ 90

    Erebus Ransomware utiliza un bypass de UAC y solicita un pago de rescate de $ 90 MalwareHunterTeam en VirusTotal ha descubierto una muestra de un nuevo ransomware potencialmente llamado Erebus. Digo que este es un ...

          
    1. #1
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.308

      Erebus Ransomware utiliza un bypass de UAC y solicita un pago de rescate de $ 90

      Erebus Ransomware utiliza un bypass de UAC y solicita un pago de rescate de $ 90


      MalwareHunterTeam en VirusTotal ha descubierto una muestra de un nuevo ransomware potencialmente llamado Erebus. Digo que este es un potencialmente nuevo ransomware porque TrendMicro había informado otro ransomware con el mismo nombre fue lanzado anteriormente en septiembre de 2016. Aunque no tengo una muestra de la Erebus original, por sus características exteriores, el descubierto hoy parece Ya sea una reescritura completa o un nuevo ransomware con el mismo nombre ..

      Mientras que en este momento, no se sabe actualmente cómo Erebus se está distribuyendo, el análisis del ransomware demuestra algunas características interesantes. La primera, y las características más notables, es la cantidad de rescate bajo de ~ $ 90 USD solicitada por el ransomware. Otra característica interesante es su uso de un bypass UAC que permite que el ransomware se ejecute en privilegios elevados sin mostrar un indicador UAC.


      Erebus realiza un bypass UAC secuestrando la asociación de archivos MSC

      Cuando se ejecute el instalador de Erebus, también utilizará un método de bypass de control de cuentas de usuario (UAC) para que no se le solicite a la víctima que permita que el programa se ejecute con privilegios más altos. Esto se hace copiando a un archivo con nombre aleatorio en la misma carpeta. A continuación, se modificará el registro de Windows con el fin de secuestrar la asociación de la extensión de archivo .msc para que se inicie el Erebus llamado aleatorio ejecutado en su lugar.

      Las entradas secuestradas se muestran a continuación.

      HKEY_CLASSES_ROOT\.msc
      HKCU\Software\Classes\mscfile
      HKCU\Software\Classes\mscfile\shell
      HKCU\Software\Classes\mscfile\shell\open
      HKCU\Software\Classes\mscfile\shell\open\command
      HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[random].exe

      Erebus ejecutará eventvwr.exe (Event Viewer), que a su vez abrirá automáticamente el archivo eventvwr.msc. Como el archivo .msc ya no está asociado con mmc.exe, pero ahora con el nombre de Erebus ejecutable, Event Viewer lanzará Erebus en su lugar. A medida que el Visor de sucesos se ejecuta en un modo elevado, el ejecutable de Erebus iniciado también se iniciará con los mismos privilegios. Esto le permite omitir el Control de cuentas de usuario.

      Muchas gracias a MalwareHunterTeam por señalar el artículo que describe este bypass.


      Cómo Erebus cifra un equipo

      Cuando se ejecute Erebus se conectará a http://ipecho.net/plain y http://ipinfo.io/country para determinar la dirección IP de la víctima y el país en el que se encuentran. A continuación, descargará un cliente TOR Y utilizarlo para conectarse al servidor Command & Control del sitio.

      Erebus comenzará entonces a escanear la computadora de la víctima y buscará ciertos tipos de archivos. Cuando detecta un tipo de archivo de destino, cifra el archivo mediante cifrado AES. La lista actual de archivos de destino es:

      .accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx
      Cuando Erebus cifra un archivo, cifrará la extensión usando ROT-23. Por ejemplo, un archivo llamado test.jpg sería cifrado y renombrado como test.msj.

      Los archivos cifrados



      Durante este proceso, Erebus también borrará las Copias de sombra de volumen de Windows para que no se puedan utilizar para recuperar archivos. El comando ejecutado para borrar las instantáneas es:

      cmd.exe /C vssadmin delete shadows /all /quiet && exit
      Cuando haya terminado de cifrar el ordenador, mostrará la nota de rescate ubicada en el escritorio llamada README.HTML. Esta nota de rescate contendrá un identificador único que se puede utilizar para iniciar sesión en el sitio de pago, una lista de archivos cifrados y un botón que lo lleva al sitio de pago de TOR.

      Nota de rescate de Ransomware de Erebus



      Erebus también mostrará un cuadro de mensaje en el escritorio de Windows alertando a la víctima de que sus archivos están encriptados.

      Alerta de la caja de mensajes



      Cuando una víctima hace clic en el botón Recuperar mis archivos, se llevarán al sitio de pago de TOR de Erebus donde pueden obtener instrucciones de pago. En este momento la cantidad del rescate se establece en .085 bitcoins, que es de aproximadamente $ 90 USD.

      [
      Sitio de pago de Eerebus Ransomware



      Desafortunadamente, en este momento no hay manera de descifrar archivos cifrados por Erebus de forma gratuita.


      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de julius37
      Registrado
      feb 2015
      Ubicación
      España
      Mensajes
      129

      Re: Erebus Ransomware utiliza un bypass de UAC y solicita un pago de rescate de $ 90

      vaya tela gracias por la info daniela

      un saludo