miércoles, 24 de agosto de 2016

RANSOMWARE - PARTE III

Introducción

Siguiendo la serie de artículos de RANSOMWARE, ahora vamos a entrarnos en el mundo del malware y vamos a ver las diferentes versiones.
Los mismos son variaciones de ransomware existentes o nuevas versiones con nuevos alcances. Si revisamos lo que vienen apaeciendo últimamente, tenemos (dentro de algunas versiones):

 
La idea es comentarle que hacen alguno de ellos y resumidamente algunas caracteristicas.

Versiones de Ransomware - Fichas técnicas

Cryptolocker
El primer gran Crypto-ransomware
Cómo infecta víctima: un archivo adjunto en un mensaje de phishing.
Pago – recupero ?: Sí, pero puede tardar 3-4 horas.  Proceso de descifrado puede dar un error, indicando que no pueden descifrar un archivo, pero continuará para descifrar los archivos.
Fecha aparición: septiembre del 2013.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: * .odt, * .ods, .odp *, * .odm, * .odc, .odb *, * .doc, * .docx, * .docm, .wps *, * .xls, *. xlsx, .xlsm *, * .xlsb, .xlk *, * .ppt, .pptx *, * .pptm, * .mdb, * .accdb, * .pst, * .dwg, * .dxf, * .dxg, * .wpd, * .rtf, * .wb2, * .mdf, * .dbf, * .psd, .pdd *, * .pdf, * .eps, .ai *, * .indd, * .cdr, *. jpg, * .jpe, * .jpg, * .dng, .3fr *, * .arw, .srf *, * .sr2, .bay *, * .crw, .cr2 *, * .dcr, * .kdc, * .erf, * .mef, * .mrw, * .nef, * .NRW, * .orf, * .raf, * .raw, * .rwl, * .rw2, * .r3d, * .ptx, *. PEF, .srw *, * .x3f, .der *, * .cer, * .crt * .pem, * .pfx, * .p12, .p7b *, * .p7c.
Algoritmo de cifrado: AES para el cifrado de archivos, RSA para el cifrado AES de llave
Herramienta de descifrado disponibles? Si.

CryptoWall 
Cómo infecta víctima: un archivo adjunto en un mensaje de correo electrónico y sitios web infectados.
Pago – recupero ?: Sí, lleva su buen tiempo recuperar la información.
Fecha aparición:fines de abril del 2014.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13,. t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, Bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid , .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk,. llanta, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm , .bik, .epk, .rgss3a, .pak, .big, cartera, .wotreplay, .xxx, .desc, .py, m3U, .flv, .js, .css, .rb, .png, .jpeg , .txt, .p7c, .p7b, p.12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl,. prima, .raf, .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd .dxg, .xf, .dwg , Pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb,. ODC, .odm, .odp, .ods, .od
Algoritmo de cifrado: RSA para el cifrado de archivos.
Herramienta de descifrado disponibles? Todavía no

OphionLocker  
Cómo infecta víctima: publicidad en línea desde una página Web que provoca que el usuario haga clic.
Pago – recupero ?: Sí, pero a veces el código que mandan no sirve.
Fecha aparición :diciembre de 2014. 
Víctimas: Todas las versiones de Windows.
Los tipos de archivos dirigidos:  * .3fr, * .accdb, .arw *, * .bay, * .cdr, *. cer, .cr2 *, * .crt * .crw, * .dbf, * .dcr, .der *, * .dng, * .doc, * .docm, * .docx, * .dwg, * .dxf, * * .dxg, .eps, .erf *, * .indd, .jpe *, * .jpg, * .kdc, * .mdb, * .mdf, .mef *, * .mp3, * .mp4, *. MRW, .nef *, * .NRW, .odb *, * .odm, .odp *, * .ods, * .odt, * .orf, p.12 *, * .p7b, .p7c *, * .pdd, * .pef, * .pem, * .pfx, * .ppt, * .pptm, * .pptx, * .psd, * .pst, * .ptx, .r3d *, * .raf, .raw *, *. rtf, .rwl *, * .srf, .srw *, * .txt, * .wb2, * .wpd * .wps, .xlk *, * .xls, * .xlsb, .xlsm *, * .xlsx 
Algoritmo de cifrado: ECC
Herramienta de descifrado disponibles?: No

CTB Locker (Curva-Tor-Bitcoin Locker)
Cómo infecta víctima: por correo electrónico, archivo adjunto.
Pago – recupero ? : Sí.  
Fecha aparición:julio de 2014
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8. 
Algoritmo de cifrado: ECC
Herramienta de descifrado disponibles?: No.

VaultCrypt
Cómo infecta víctima:  uso de archivos por lotes de Windows y el código abierto GnuPG software de privacidad para alimentar una técnica de cifrado de archivos muy eficaz.
Pago – recupero ?:  Sí, 
Fecha aparición: febrero 2015
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  cd, .mdb, .1cd, .dbf, .sqlite, .jpg, .zip, .7z, .psd, .dwg, .cdr, .pdf, .rtf, .xls, .doc
Algoritmo de cifrado:  pública RSA-1024 y una clave privada para cifrar los archivos
Herramienta de descifrado disponibles?: No.

TeslaCrypt / Alpha Crypt (y variantes)
Cómo infecta víctimas: correo electrónico, este inmediatamente busca unidades mapeada.
Pago – recupero ?:  Sí,
Fecha aparición :febrero 2015 / abril 2015
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, Bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, m3U, .flv, .js, .css, .rb, .png, .jpeg, .txt , .p7c, .p7b, p.12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw,. raf, .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd .dxg, .xf, .dwg, Pst , .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc,. oDM, .odp, .ods, .odt
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles? Si. (testladecoder.exe)

LowLevel04
Cómo infecta víctima:  ataques de fuerza bruta en las máquinas que tienen Escritorio remoto o Servicios de Terminal Server instalado y que tienen contraseñas débiles.
Pago – recupero ?: Sí,
Fecha aparición: septiembre del 2013.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  3fr, .dbf, .dcr, .dwg, .doc, .der, .erf, .eps, .jpg, .mp3, .mp4, .mef, .mrw, .mdf, .bay,. Pienso volver, .bkp, .bcp, .cdr, .mid, .nef, .NRW, .dat, .dxg, .dng, .pptx, .pptm, .jpe, .kdc, .mdb, .jpeg, .indd, .docx, .docm, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, Pst, .ppt, .rtf, .rw2, .odt , .ods, .pem, sql, .xls, .xml, .xlk, .wpd, .wav, .wb2, .wps, .x3f, .zip, .xlsb, .arw, .bmp, .cer,. CRW, .cr2, .crt, .dxf, .r3d, .srf, .sr2, .srw, p.12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, .xlsx, .xlsm, .exe, .bad, .lpa, .sys, .dll, msi, .ie5, .ie6, .ie7, .ie8, .ie9, ini, .inf, .lnk , .scr, .com, .ico, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip
Algoritmo de cifrado:  AES  y RSA-2048 cifrado
Herramienta de descifrado disponibles?:  No.

Quimera o Chimera
Cómo infecta víctima: Correo y sitios Web infectados. Publica información del usuario en Internet.
Pago – recupero ?: Sí,
Fecha de aparición: noviembre 2015.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  .jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, ini, .cdr, .svg, .conf, .cfg,. config, .wb2, msg, .azw, .AZW1, .azw3, .azw4, .lit, .apnx, .mobi, p.12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, Cs, asp, .aspx, cgi, .h, .cpp, .php, .jsp, bak, .dat, Pst , .eml, .xps, .sqllite, sql, js, jar, .py, .wpd .crt, .csv, PRF, .cnf, .indd, .Number, .pages, .lnk,. po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, Lib, .cert, p.12, .cat, .inf, .MUI, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf , .NRW, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf,. arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3 ds, .max, .obj, .a2c, .dds, .PspImage, .yuv, .zip , .rar, .gzip, vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, dress.Toast, .vcd, .ccd, .disc, nrg, .nri,. cdi, .ptx, .ape, .aif, .wav, .ram, .ra, m3U, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, Aa, .aa3, .amr, .mkv, .dvd, Mts, .qt, vob, .3ga, ts, .m4v, .rm, .srt , .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm. xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, Epub, .pdf
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.

Ransom32
Cómo infecta víctimas: correo y Tor. Escrito en JavaScript.
Pago – recupero ?: 
Fecha aparición: fines del 2015.
Víctimas: Podría afectar a cualquier S.O que use java.
Los tipos de archivos dirigidos:  jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, sql,. * SAV *, *. * SPV,. * * grle,. * mlx *, *. * SV5,. * juego *, *. * ranura, .dwg, .dxf, .c, .cpp, Cs,. h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .PLB, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, Fla, .as3, .as, .txt , .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd .wps, msg, .pdf, .xls, .xlt, .xlm, .xlsx,. xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .IFF, m3U, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp , .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses, .dat
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.

Petya
Cómo infecta víctima: Correo electrónico apuntando a áreas de RRHH de la empresa. Una vez infectado, cifra archivos y luego disco (MBR).
Pago – recupero ?: Sí, 
Fecha aparición: abril 2016
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Algoritmo de cifrado: AES para el cifrado de archivos, RSA para el cifrado AES de llave.
Herramienta de descifrado disponibles?: Si, pero es manual y usando un linux.

KeRanger
Cómo infecta víctima:  actualización de Transmission (proyecto abierto) y muy ocasionalmente correo electrónico y Bittorrent.
Pago – recupero ?: Sí, 
Fecha aparición: mediados del 2014. 
Víctimas: Mac OS X.
Los tipos de archivos dirigidos:  doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex, JPEG, jpg, zip, .cpp, .asp, .csh, .class, .java, .lua, .db, sql, .eml, .pem.
Algoritmo de cifrado: RSA.
Herramienta de descifrado disponibles? Si.

Entre otros....

Todas las semanas aparecen nuevas versiones u otros con otros nombres, pero básicamente son mejoras o nuevos ransomware originados de las versiones que mencionamos arriba.

Vector de Infección

La idea es que no sean especialistas de versiones de ransomare, si no aprendan sobre el vector de infección y que hacen. Si leen el punto anterior, van a observar que el ransomware ingresa, en la mayoría de las veces, por

1) Correo electrónico: reciben un correo tipo spam, en donde el mismo trae un adjunto infectado, un adjunto que permite bajar el malware de internet sin que Uds lo sepan, un acceso algún sitio web que al visitarlo lo único que hace es bajar el malware o bien algun archivo de office con macros infectadas.

2) Acceso a sitios web infectados: visitar sitios web infectados por algun link que nos llega por correo o por buscar y/o bajar softwares crakeados, peliculas o musica.

Herramientas disponibles para recuperar información.
En las fichas técnicas se menciona que algunas versiones, sobre todo las mas viejas, ya poseen herramientas para recuperar archivos cifrados, lo pueden bajar desde aquí "NO MORE RANSOM"

https://www.nomoreransom.org/

Este sitio, formado por varias organizaciones, tiene como finalidad difundir conocimiento y elementos para que cada vez tengamos menos víctimas de ransomware.

En el próximo artículo vamos a ver que medidas tener en cuenta para protegernos de los ransom.
Hasta la próxima.


Fuentes: Kaspersky y https://blog.varonis.com