• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Matrix Ransomware se extiende a otros PC usando atajos maliciosos

    Matrix Ransomware se extiende a otros PC usando atajos maliciosos Brad Duncan , Analista de Inteligencia de Amenazas de la Unidad de Redes Palo Alto 42, ha comenzado a ver recientemente que la campaña del ...

          
    1. #1
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.315

      Matrix Ransomware se extiende a otros PC usando atajos maliciosos

      Matrix Ransomware se extiende a otros PC usando atajos maliciosos


      Brad Duncan, Analista de Inteligencia de Amenazas de la Unidad de Redes Palo Alto 42, ha comenzado a ver recientemente que la campaña del EITest utiliza el kit de exploit RIG para distribuir el rescate de Matrix. Si bien Matrix ha estado fuera por bastante tiempo, nunca fue un jugador importante en términos de distribución de amplia distribución.

      Matrix Ransomware HTA Ransom Nota



      Ahora que se está distribuyendo a través de una gran campaña y un kit de exploit, era el momento de profundizar en este ransomware para ver qué características tiene. Lo que se encontró es interesante, ya que Matrix Ransomware tiene el gusano como características que le permiten propagarse fuera de la máquina originalmente infectada a través de atajos de Windows y carga estadísticas sobre los tipos de archivos que están cifrados.


      Matrix distribuido utilizando Kits de explotación

      Cuando el Matrix Ransomware fue descubierto por primera vez alrededor de diciembre de 2016 no tenía una amplia distribución en comparación con las infecciones ransomware como Cerber o Spora Ransomware. Ahora que Matrix se está distribuyendo usando el exploit RIG a través de la campaña de EITest puede convertirse en un cambiador de juego real.

      Según Brad Duncan, Matrix se distribuye a través de sitios hackeados que tienen los scripts EITest inyectados en ellos. Cuando un visitante va a uno de estos sitios hackeados, dependiendo de varios criterios, Brad ha visto EITest inyectando el ataque "The" HoeflerText "fuente no encontrada", que está distribuyendo el Spora Ransomware, o el RIG exploit kit, que está distribuyendo Matrix.

      Una vez cargado el iframe RIG, el exploit kill intentará explotar programas vulnerables en el ordenador para instalar el ransomware Matrix.


      Matrix Ransomware utiliza atajos maliciosos para propagarse a otros ordenadores

      Algunas variantes de Matrix Ransomware también incluyen una característica de gusano que permite difundir e infectar otras máquinas a través de atajos de carpetas. En primer lugar detectado por MalwareHunterTeam, cuando ambos analizamos Matrix vimos que mientras se realiza el cifrado, Matrix ocultará una carpeta y luego creará un acceso directo con el mismo nombre. A continuación, hará una copia del ejecutable de ransomware y guardarlo como desktop.ini en la carpeta original, pero ahora oculta.

      A continuación puede ver un ejemplo de carpeta de perfil de un usuario después de que Matrix convirtiera algunas de las carpetas en accesos directos.

      Carpeta con accesos directos infectados



      Observe cómo la carpeta Documents and Downloads muestra ahora un símbolo de acceso directo. Si entra en las propiedades de este acceso directo, verá que intenta iniciar un programa.


      Acceso directo infectado


      El comando completo de este acceso directo infectado es:

      %SystemRoot%\system32\cmd.exe /C explorer.exe "Documents" & type "Documents\desktop.ini" > "%TEMP%\OSw4Ptym.exe" && "%TEMP%\OSw4Ptym.exe"
      Utilizando el ejemplo anterior, cuando un usuario intenta abrir la carpeta Documentos, se ejecutan los siguientes pasos:

      1. Utilice explorer.exe para iniciar la carpeta Documentos ocultos para que el usuario pueda ver sus archivos como normal y todo parece estar funcionando correctamente.
      2. Copie el archivo desktop.ini de la carpeta Documentos, que es en realidad el archivo ejecutable de ransomware, en% Temp% \ OSw4Ptym.exe.
      3. Ejecute el archivo% Temp% \ OSw4Ptym.exe.
      4. Matrix ahora infectará el nuevo equipo, o si su ejecución en un equipo ya infectado, comprobar si hay nuevos archivos para cifrar.


      Este método permite que Matrix se propague a nuevos equipos a través de comparticiones de red y unidades extraíbles.


      Matrix Ransomware se actualiza con frecuencia

      También estamos viendo que el Matrix Ransomware se está actualizando con frecuencia. La primera versión fue descubierta alrededor de diciembre de 2016, seguida por una nueva versión del 3 de abril y luego el 6 de abril. Cada una de estas versiones tiene características diferentes, extensiones de archivos cifrados, direcciones de correo electrónico y nombres de archivo de nota de rescate.

      La siguiente tabla muestra las diferentes versiones y sus características:



      Debido a su distribución más amplia, podemos esperar que Matrix continúe cambiando a menudo.


      Comportamiento adicional y descifrado

      Mientras Matrix se está ejecutando, es muy hablador con los servidores de Command & Control. En cada etapa del proceso de cifrado, Matrix se conecta de nuevo al servidor C2 y emite una actualización en cuanto a cuánto tiempo en el proceso es. Al igual que Spora, Matrix también cargará una lista de extensión de archivo y cantidad de archivos por extensión cifrados. No se sabe si Matrix también cambia su demanda de rescate en función de los tipos de archivos cargados.

      Por último pero no menos importante, Matrix realiza el siguiente comportamiento en el equipo infectado:

      • Elimina copias de volumen de sombra para que la víctima no pueda usarlas para recuperar archivos.
      • Ejecuta bcdedit.exe / set {default} recoveryenabled no para evitar que la víctima entre en modo de recuperación.
      • Ejecuta bcdedit.exe / set {default} bootstatuspolicy ignoreallfailures para prevenir más el acceso a las opciones de recuperación.
      • Utiliza una nota de rescate RTF y una nota de rescate de archivo HTA. La versión RTF para la última variante se puede ver a continuación.


      RTF nota de rescate



      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de julius37
      Registrado
      feb 2015
      Ubicación
      España
      Mensajes
      130

      Re: Matrix Ransomware se extiende a otros PC usando atajos maliciosos

      gracias por la info, y por el curro daniela

      un saludo

    3. #3
      Usuario Avatar de HeR0
      Registrado
      abr 2017
      Ubicación
      argentina
      Mensajes
      1

      Re: Matrix Ransomware se extiende a otros PC usando atajos maliciosos

      hola gente como les va? que métodos de protección son viables para los kit exploit`s? ademas de mantener actualizado el software. o específicamente del exploit RIG?

      Desde ya muchas gracias!

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Matrix Ransomware se extiende a otros PC usando atajos maliciosos

      Cita Originalmente publicado por HeR0 Ver Mensaje
      hola gente como les va? que métodos de protección son viables para los kit exploit`s? ademas de mantener actualizado el software. o específicamente del exploit RIG?!
      Si buscas una solución gratuita, tenes Malwarebytes Anti-Exploit y si quieres una completa de pago que ya incluya el Anti-Exploit junto a los escudos Anti-Ransomware y Anti-Malware todo junto, lo tenes en la version Premium de Malwarebytes 3.0.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.