Seguridad al alcance de todos!


viernes, 18 de mayo de 2018

Nuevos Ransomware afectan directamente la MBR del sistema Comprometido.



Annabelle y MBRLock son los nuevos ransomware que tienen como objetivo infectar el Registro principal de Arranque o MBR por sus siglas en ingles, los cuales previenen que el sistema operativo inicie y así evitar un scaneo por parte de cualquier herramienta de seguridad.

Los ransomware estan evolucionando bastante rápido, con nuevas técnicas de evasión en su detección, esto con el objetivo de poder mejorar la persistencia en los equipos objetivos. El ultimo gran ransomware que supimos que tenia este modus operandi, y que ademas se hizo famoso a nivel mundial fue Petya.

El MBR es el primer registro de una unidad de almacenamiento, y se encuentra dentro de los primeros 512 bytes. Este registro contiene la información necesaria para que se pueda proceder con la carga del o los Sistemas operativos que viven en un Disco Duro.

La infección de la MBR en ambos ransomware ocurre cuando el equipo victima procede a un reinicio de sistema, haciendo que el malware reemplace el MBR original dando paso al código malicioso. Una infección a este registro implicaría consecuencias graves para el sistema.


Annabelle


Según informa el blog de investigación Quickheal, el malware realizará las siguientes acciones: "encripta todos los archivos del computador y añade una extensión .annabelle a los archivos afectados, intenta desahabilitar el firewall, termina toda una lista de procesos de Seguridad, se despliega en todas las unidades USB y por ultimo, sobrescribe el registro MBR con un código propio. Este ransomware solo tiene como objetivo, dejar inutilizable el sistema.

El malware llama a un DLL para tomar control de las unidades físicas de los sistemas infectados donde escribirá 0x800 en cada unidad física.


Después de infectar el disco duro el proceso RtlSetProcessIsCritical es llamado, esta función cambiará la criticidad del malware para que sea considerado como crítico para el sistema. Esto implica que cuando se intente el cierre de este proceso, windows se vea forzado a finalizar también, por lo general esto implica un crash en el sistema.


Para finalizar el proceso, el malware llama a shutdown.exe -r -f -t 0 para poder reiniciar el sistema. Posterior al reinicio del sistema aparece un mensaje de en el cual se pide el rescate por 0.1 bitcoin, y este debe ser pagado dentro de un plazo de tiempo.

Si el usuario decide no pagar el rescate, el malware reemplaza el MBR del sistema por el propio haciendo que ya no se pueda acceder mas al equipo.

MBRLock


Este ransomware fue detectado en febrero de este año. Este ransomware al igual que el anterior tiene como objetivo el MBR de la victima y solicita como rescate un valor de 30 yuan antes de que windows inicie.

El ransomware hace una llamada a createfile API, y con eso toma acceso a la unidad física. Posteriormente cuando llama  a SetFilePointer este configura la variable en cero, cosa de poder acceder a los registros MBR. Este lee los primeros 0x200 bytes de memoria y los respalda en los siguientes 0x200 quedando respaldada la información en los 0x400 bytes de memoria.


Posterior al reinicio, el malware reemplaza el código original de MBR por el propio, impidiendo que el usuario logre acceder al sistema. Cuando el usuario intenta nuevamente acceder al equipo aparecerá el siguiente mensaje, en el cual le solicitará un rescate por 30 yuan para acceder a la información nuevamente.


El análisis del MBR indica que el malware compara la Contraseña introducida con una cadena que está presente en su código. Los investigadores dicen que la contraseña es "ssssss". A diferencia de otros ransomware, desbloquear la pantalla de este ransomware es bastante fácil, lo que se puede hacer sin pagar ningún rescate.

Compartir:

Siguenos en Facebook

Patagonia Hacking

Etiquietas

4GLTE ACS Actualidad Actualizaciones ADB Adblocker Adguard Adobe Adware Amazon AMD Analitica Android AndroidP Annabelle App Store Apple Argentina ARM ARPSpoofing ASA Assa Abloy Asus ATM Auditoria Australia Auth0 Avast Aviso AWS Azure Sphere backdoor Banco de Chile Bancos Banking Bitcoins Blackberry BlackEnergy Blizzard BlockChain Botnet Brambul Bromas Bug Bug Bounty Cambridge Analytica Cambrige Analytica CannibalRAT CERT Certificados Challenge Chile China Chrome CIA CiberAtaques CiberCrimen CiberEjercito CiberEspionaje CiberGuerra CiberSeguridad Cifrado Cisco Cisco DNA Cisco Talos CloudFlare Coca-Cola CoinHive Colegio Combojack Copiapo Corfo Correo correos Cortana CredSSP Criptografía Criptomonedas CryptoMonedas Cryptovirus CSP CVE Cyberbit D-Link DASAN Database Databreach DDOS DefaultPassword Defensa DHCP DHS DigiCert Digital Shadows Dmitri Kaslov DNS DNS Spoofing Dockers Dofoil Doppelganging DPI DrayTek dropbox Drupal Drupalgeddon DrWeb EarlyBird Eclypsium Educación eFail EFF Electron Electroneum Equifax ESNIC Espionaje EstadosUnidos Etherium Ethical Hacking Europol Excel Exploit Exposición de Datos Extensión Chrome F5 Facebook Falla Fallo FBI FBS FedEx Fingerprint Finlandia Firebase Firewall FlawsCloud FlightRadar24 FortiGuard Fortinet Fortnite GandCrab Git GitHub Google google chrome Google Drive Google Play Google Proyect Zero Gpg Gpon Hackers Hacking hcsshim HDD Hidden Cobra Hispasec Hoteles HTTP Injector Huawei IBM idleBuddy IE Ingenieria Social Instagram Intel Internet InternetExplorer IonCube iOS Iot Iran Irán ISO/IEC JavaScript Joanap JSCRIPT Juegos Junos OS Kali Kane Gamble Karim Baratov Kaspersky KillDisk Kronos leaks Lenovo linkedin Linux Luka MAC MacOS Magento Mails Malware MalwareHunterTeam MalwareTech MBR MBRLock McAfee Medicina Meltdown Memcached Microsoft Mikrotik Millennials Mirai MitM Mobef Monero Mozilla Municipios My Cloud MySql NanoCore Nas Netflix Neutralidad Never Defender NewSky Security Nintendo Noticias Noticias. NSA NTLM NYT OceanLotus Office Omni OpenSSL Oracle OrangeWorm Outlook Owari OWASP PDF PenTestPartner PGP Phishing PHP PoC PornHub PowerHammer Privacidad Profinet PsicoHacking Python Qihoo360 QNAP Radware ransomware RAT RBL RCE RDP Recompensas Reconocimiento Facial RedDrop Redes RedHat RGPD Roaming Mantis Router Routers Rumanía. Rusia Salud SAMBA Samsung SAP Satori Saturn SCADA screenlocker ScreenOS SecurityList Segurdad Seguridad Seguridad Informatica Sev shodan Signal Sistemas Operativos SiteLock skype SlingShot SMB SMIME SMM Softzone Sonido Sophos Sora Spam Spectre Squid SSLER StalinLocker Switches SWITF Symantec Taiwan Tecnologia Telegram The Shadow Brokers TheMoon ThunderBird TLS Tor Torrent Transmission TrendMicro Troyanos Trustico TrustJacking Tutorial Twitter Ubiquiti Ubuntu UltraSonido Unix UPnP Noticias UPVel Utorrent Vault7 videojuegos VingCard Virus VM VPN VPNFilter VPNHub VRP Vulnerabilidad Vulnerabilidades Wandera WannaCry Watchguard WaveThrough Webinars WeChat Western Digital WhatsApp Wicked WIFI Windows Windows 10S Windows Defender Windows Remote Assistance Windows Vulnerabilidad WindowsUpdate WinstarNssmMiner Wireless Ruckus WordPress WPA3 wpscan XSS Yahoo Youtube Z-shave Z-wave ZDI ZeroDays ZeroFont ZTE

Historial

Vistas a la página totales