• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Serpiente ransomware quiere clavar sus colmillos en tus datos

    Serpiente ransomware quiere clavar sus colmillos en tus datos Ayer, ProofPoint publicó sobre su descubrimiento de un nuevo ransomware llamado Serpiente que se está distribuyendo a través de correos electrónicos de SPAM. Se determinó además ...

          
    1. #1
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.345

      Serpiente ransomware quiere clavar sus colmillos en tus datos

      Serpiente ransomware quiere clavar sus colmillos en tus datos


      Ayer, ProofPoint publicó sobre su descubrimiento de un nuevo ransomware llamado Serpiente que se está distribuyendo a través de correos electrónicos de SPAM. Se determinó además que este ransomware parece ser una nueva variante de la familia de ransomware HadesLocker y Wildfire.

      A continuación he dado un breve recapitulación de los métodos de distribución descubiertos por ProofPoint, así como información detallada sobre lo que he aprendido acerca de cómo Serpiente se ejecuta basado en su código fuente. Desafortunadamente, en este momento no hay manera de descifrar archivos cifrados por el Serpiente Ransomware.


      Cómo se reparte Serpiente Ransomware

      ProofPoint tiene una excelente valoración crítica en este ransomware que incluye cómo se distribuye. Para completar, he proporcionado un breve resumen de lo que descubrieron a continuación, pero para la cucharada completa, sugiero que lea su artículo también.

      Serpent Ransomware se está distribuyendo a través de correos electrónicos de spam dirigidos a las víctimas danesas que pretenden ser facturas pendientes. Estos mensajes de correo electrónico tendrán un tema como "Sidste påmindelse for udestående faktura 1603750" y contendrán un enlace a un documento de Word que se le dice a la víctima que descargue.

      Serpiente SPAM Email
      Fuente: ProofPoint



      Si un usuario descarga y abre este documento de Word, el documento intentará engañar al usuario para habilitar macros haciendo que hagan clic en el botón Habilitar contenido como se muestra a continuación.

      Documento malicioso de Word
      Fuente: ProofPoint



      Una vez que un usuario haga clic en este botón, las macros ejecutarán y descargarán e instalarán el Serpent Ransomware.


      Cómo Serpent Ransomware cifra un equipo

      Como MalwareHunterTeam fue capaz de des-ofuscar y extraer el código fuente de la Serpiente Ransomware, somos capaces de obtener una visión mucho más profunda de cómo funciona el ransomware.

      Cuando se ejecuta Serpiente Ransomware, se copiará a una carpeta con nombre aleatorio en la carpeta% AppData%. A continuación, se conectará a http://ipinfo.io/json para determinar la dirección IP y el país de la víctima. Si el ransomware detecta que su dirección IP es de uno de los países siguientes, saldrá y no cifrará su computadora.

      Armenia, Azerbaiyán, Belarús, Georgia, Kirguistán, Kazajstán, Moldova, Rusia, Turkmenistán o Tayikistán
      Si no procede de uno de los países mencionados, se conectará al servidor Command & Control del ransomware y enviará el ID de hardware exclusivo de la víctima, un ID de campaña, la dirección IP y el país. En respuesta, el servidor de Comando y Control responderá con una clave RSA pública.

      Serpiente Ransomware finalizará los siguientes procesos relacionados principalmente con bases de datos para que sus archivos no estén en uso y por lo tanto pueden ser cifrados.

      Msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, Mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50. Exe, sqbcoreservice.exe
      Serpiente ahora procederá a cifrar los datos en el ordenador de una víctima buscando archivos que contengan extensiones de archivo específicas. Si detecta un archivo de destino, cifrará el archivo utilizando el cifrado AES-256. Durante el cifrado de un archivo, también añadirá al archivo la clave de cifrado AES, cifrada posteriormente por la clave RSA descargada. Una lista completa de las 876 extensiones de archivo específicas se puede encontrar al final del artículo.

      Cuando el Serpent Ransomware cifra un archivo, agregará el .serpent. Extensión al nombre de archivo. Por ejemplo, un archivo llamado test.jpg sería cifrado y renombrado como test.jpg.serpent. Puede ver un ejemplo de cómo aparecerán los archivos cifrados a continuación.

      Serpiente archivos cifrados



      Durante este proceso, Serpiente también borrará las copias de sombra de volumen de Windows para que no se puedan utilizar para recuperar archivos. El comando ejecutado para borrar las instantáneas es:

      WMIC.exe shadowcopy delete / nointeractive
      Cuando haya terminado de cifrar una unidad, Serpent utilizará el comando Cipher.exe para sobrescribir los datos eliminados para hacer más difícil la recuperación de los archivos. El comando que se utiliza es:

      Cipher.exe / W: [root_directory_of_drive]
      Mientras se ejecuta, el ransomware también creará un archivo VBS en la carpeta Inicio del Menú Inicio para que el ransomware se ejecute cada vez que la víctima inicie sesión en el equipo. Un ejemplo de este script VBS se puede ver a continuación.

      Archivo Autorun VBS



      Cuando haya terminado, las notas de rescate denominadas HOW_TO_DECRYPT_YOUR_FILES_ [random_3_chars] .html y HOW_TO_DECRYPT_YOUR_FILES_ [random_3_chars] .txt se preajustarán en todo el equipo y en el escritorio de Windows.

      Serpiente Ransomware la nota de rescate



      Cuando una víctima abre una de estas notas de rescate, se les proporcionará enlaces al sitio de pago de Serpent Ransomware. Estos enlaces contendrán un identificador de hardware exclusivo de la víctima para que una víctima pueda iniciar sesión y ver detalles sobre el pago del rescate.

      Información más detallada sobre el sitio de pago se encuentra en la siguiente sección.


      El sitio de pago de Serpiente Ransomware

      Cuando una víctima usa uno de los enlaces en la nota de rescate, será llevado al sitio de pago de Serpiente Ransomware. Este sitio contiene información como la cantidad de rescate, la dirección de bitcoin a la que se debe hacer un pago, una página de preguntas frecuentes y una página de asistencia.

      Actualmente el pago del rescate está fijado a .75 bitcoins o aproximadamente $ 730 USD. Si la cantidad del rescate no se paga en el plazo de 7 días, esta cantidad aumentará a 2.25 bitcoins, o aproximadamente $ 2.200 USD.

      A continuación se muestra la página principal del sitio de pago. Esta página contiene un temporizador de cuenta regresiva de 7 días, la cantidad de pago de rescate, la dirección de bitcoin para enviar el pago y un área que detalla cuántos pagos se han realizado y su estado.

      Sitio de pago de Serpiente Ransomware



      La página FAQ de Serpiente Ransomware contiene una lista de preguntas frecuentes sobre lo que ha sucedido con los archivos de una víctima.

      Página de Preguntas Frecuentes



      La página de instrucciones contiene información sobre cómo utilizar el descifrador una vez que se ha efectuado el pago.

      Página de instrucciones


      Página de soporte de Serpiente Ransomware



      Como se ha dicho anteriormente, en este momento no hay manera de descifrar los archivos cifrados por el Serpiente Ransomware de forma gratuita.



      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de julius37
      Registrado
      feb 2015
      Ubicación
      España
      Mensajes
      130

      Re: Serpiente ransomware quiere clavar sus colmillos en tus datos

      gracias por la info, cada vez esta mas claro que los antivirus solo en el pc ya no son suficientes,

      saludos