Ransomware!!! - El incremento masivo

-

Después de Locky ...Llega ZEPTO


A lo largo de estas últimas fechas se viene recibiendo notificaciones de ataques de malware de tipo RANSOMWARE, si bien sabemos que nuestro antivirus cuenta con una heurística avanzada no podemos escapar de las nuevas variantes que se muestra diariamente. Debemos tomar medidas ante este tipo de ataques que utiliza técnicas de ingeniería social 

En esta oportunidad hacemos mención de la nueva variante del RANSOMWARE Locky con el nombre ZEPTO que aproximadamente fue lanzada el 27 de Junio del presente año. Usa un algoritmo de cifrado asimétrico (RSA-2048 y AES-128) Como su predecesor Locky. Pero existe algo peculiar con esta nueva variante.

Analizando ZEPTO:

El RANSOMWARE ZEPTO así como Locky está desarrollado en JS (JavaScript). Desde que se introduce en su sistema, Windows ejecuta un módulo wsscript.exe y ejecute el script. 

Al realizar ejecuciones validas de Wsscript.exe el sistema de protección no detectará porque son procesos válidos. El ejecutable .JS conecta el servidor C&C (Comando & Control) para descargar el RANSOMWARE. Y, desde que se descarga, este codificador escanea el sistema y bloquea los datos para luego solicitar un pago a cambio de tener acceso a este. 

Se centra en archivos con las siguientes extensiones:

"3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2"
ZEPTO renombra los archivos cifrados con la siguiente estructura de nombre Ejemplo: 024BCD33-41D1-ACD3-3EEA-84083E322DFA.ZEPTO. La ID de la víctima serán los primeros 16 caracteres del nombre del archivos que serían 034BCD3341D1ACD3 y cambia la extensión por .ZEPTO el cifrado sobrescribe los archivos y elimina las versiones originales. El archivo _HELP_instructions.bmp, contiene la nota de rescate y reemplaza su fondo de escritorio. Los archivos _HELP_instructions.html se genera como acceso directo en cada carpeta de un archivo encriptado y en el escritorio de la víctima. La nota dice lo siguiente:



¡¡¡ INFORMACIÓN IMPORTANTE!!!

Todos sus archivos se han encriptado con un cifrado RSA-2048 y AES-128.

Se puede encontrar más información sobre el RSA y AES aquí:

[Enlaces a wikipedia]

Descencriptar sus archivos sólo es posible con la clave privada y el programa desencriptador, que está en nuestro servidor secreto.


Para recibir su clave privada siga uno de los enlaces

[Enlaces de Webs Tor]

Si ninguna de dichas direcciones está disponible, siga los siguientes pasos:

[Se proporcionan instrucciones sobre cómo descargar e instalar el Navegador Tor]

¡¡¡ ID de identificación personal: 034BCD3341D1ACD3!!!
Aunque no se diga en la nota, el tamaño del rescate es el mismo que el del RANSOMWARE LOCKY – 0.5 BTC (Bitcoins) una cantidad de 319.86 USD en este momento. No es una gran cantidad de dinero, pero sería una pena perderla.

¿Cómo se Distribuye el RANSOMWARE ZEPTO?

ZEPTO es un virus troyano. Se distribuye a través de archivos .js infectados, que parecen archivos .DOC o .PDF y llegan a través de adjuntos e-mails y envían a las víctimas. Estos e-mails caen en las carpetas de spam. Se disfrazan como documentos importantes emitidos por empresas legítimas. Como por ejemplo PayPal, FedEx, Aduanas, etc. Desde que el adjunto es ejecutado, se desencadena tareas que hacen posible y no muy grato cifrado.

Comentarios

  1. Blogger24 de mayo de 2017, 2:25 a.m.

    BitKong Test your courage and win bitcoins from the big angry kong.

    TIP: Claim free bitcoins every 10 mins from the free faucet.

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

Base de Datos FAVICON

-
HASH 6399cc480d494bf1fcd7d16c42b1c11b penguin 09b565a51e14b721a323f0ba44b2982a Google web server 506190fc55ceaa132f1bc305ed8472ca SocialText 2cc15cfae55e2bb2d85b57e5b5bc3371 PHPwiki (1.3.14) / gforge (4.6.99+svn6496) - wiki 389a8816c5b87685de7d8d5fec96c85b XOOPS cms f1876a80546b3986dbb79bad727b0374 NetScreen WebUI or 3Com Router 226ffc5e483b85ec261654fe255e60be Netscape 4.1 b25dbe60830705d98ba3aaf0568c456a Netscape iPlanet 6.0 41e2c893098b3ed9fc14b821a2e14e73 Netscape 6.0 (AOL) a28ebcac852795fe30d8e99a23d377c1 SunOne 6.1 71e30c507ca3fa005e2d1322a5aa8fb2 Apache on Redhat d41d8cd98f00b204e9800998ecf8427e Zero byte favicon dcea02a5797ce9e36f19b7590752563e Parallels Plesk 6f767458b952d4755a795af0e4e0aa17 Yahoo! 5b0e3b33aa166c88cee57f83de1d4e55 DotNetNuke (http//www.dotnetnuke.com) 7dbe9acc2ab6e64d59fa67637b1239df Lotus-Domino
Continuar Leyendo »

Mirror de actualización con ESET Endpoint Antivirus

-
Imagen
ESET Endpoint Antivirus como Mirror de actualización En esta sección vamos a configurar nuestro ESET Endpoint Antivirus para que nuestras máquinas de la red lan se actualicen a partir de esa configuración, sin necesidad de tener una consola de administración (ERAS) Escenario: El responsable de soporte tiene a cargo 150 maquina en la oficina central de la empresa, la cual esta instala ESET Endpoint Antivirus y esta administrado como ERA, y fuera de su red tiene otra 10 máquinas a cargo, no cuenta con acceso a esa oficina  para poder ser administrada, y lo que el desea es solo que las 10 maquinas se actualicen sin consumir el ancho de banda. Solución Se instala ESET Endpoint Antivirus a las máquinas fuera de la red, y se propone utilizar a uno de los usuarios como el que se va encargar de crear la mirror para las demás máquinas y poder actualizar la base de firma.  Proceso. Abrimos ESET Endpoint Antivirus. Ingresamos a la configuración avanzada de
Continuar Leyendo »