Frescura Española

Hace unos días llego hasta nosotros una muestra procedente de un usuario el cual nos comentaba que su ordenador estaba “secuestrado”.Una vez con la muestra en el laboratorio pudimos ver que se trataba de un “Ransomware”, menuda palabreja, pero tranquilos que aquí está la descripción.

El Ransomware es un malware generalmente distribuido mediante SPAM y que mediante distintas técnicas imposibilita al dueño de un documento acceder al mismo. El modo más comúnmente utilizado es cifrar con clave dicho documento y dejar instrucciones al usuario para obtenerla, posterior al pago de «rescate».

Está interesante, un poco de frescura, y hecho en España fue lo primero que salió de la boca de nuestro destripador de malware, la muestra en cuestión está escrita en Visual Basic.
Respecto al propio troyano, crea una copia de si mismo en el directorio de Windows, suponiendo que sea una instalación en estándar en C:\Windows, el troyano se habrá instalado como:
C:\WINDOWS\system32:www.google.com (un nombre extraño.. pero es así tal cual)

Después crea una dll:

C:\WINDOWS\system32:rpsS.dll

Y en el ráiz crea:

C:\aaaaaa.bat c:\worm3.exe c:\sms.exe

El que hace el borrado de información es el .bat

El worm3.exe crea a su vez C:\logon.exe

El sms.exe a su vez crea C:\ad.bac:\windows\Prizee.exe y es el encargado de pedir el chantaje…

Es como una muñequita de esas rusas, que cada vez que abres una te aparece otra dentro , aparte hace unas cuantas modificaciones a nivel registro.

Tras copiarse/instalarse, lo primero visible para el usuario, pasado un buen rato, es una ventana que pone «FUCK YOU BY DRIGIN», a continuación suelta el payload que su misión consiste en borrar ficheros, no sólo del disco local, sino también de las unidades compartidas que tenga la maquina infectada ,y entonces viene lo bueno, te muestra la siguiente pantalla de chantaje.

Además de chantaje es un TIMO, porque la página pidiendo que envíes los SMS para evitar tener el PC «secuestrado» la muestra después de haber realizado el borrado de la información.

El borrado que hace es fichero a fichero, no utiliza ningún mecanismo a bajo nivel, ni sobreescribe, etc. Hay que ser mala persona para hacer eso, pero tranquilos con cualquier herramienta de recuperación de datos borrados se puede recuperar muy fácilmente.

NOD32 lo detecta como Win32/TrojanDownloader.Small.OBA

R.R

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..