IMPORTANTE INFORMACIÓN SOBRE LAS ÚLTIMAS VARIANTES DEL RANSOMWARE GANDCRAB

VARIANTES RANSOMWARE GANDCRAB 5 y 5.02

Tras muchas variantes que vamos controlando de este ransomware con el ELISTARA, creemos importante hacernos eco de este artículo sobre la última variante de dicha familia, editado por nuestros compañeros de Hispasec:

Analisis de virustotal sobre la variante 5 de dicho ransomware GANDCRAB:

Analisis de virustotal sobre la variante 5.02 del GANDCRAB

 

Acceso a información de McAfee al respecto, en inglés original:

Rapidly Evolving Ransomware GandCrab Version 5 Partners With Crypter Service for Obfuscation

______________________

GandCrab v5 evoluciona dificultando su desofuscación

GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código

El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.

Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.

Anuncio de asociación NTCrypt + GandCrab
Fuente: securingtomorrow.mcafee.com

Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).

La versión 5 viene con las siguientes características:

Eliminación de archivos
Descubrimiento de información en el sistema objetivo
Ejecución a través de API
Ejecución a travésde WMIC
Detección de productos antimalware y de seguridad.
Modificación del registro
Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
Descubrir recursos compartidos en red para cifrarlos
Enumeración de procesos para poder eliminar algunos concretos
Creación de archivos
Elevación de privilegio

Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.

El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.

Hashes

e168e9e0f4f631bafc47ddf23c9848d7: Versión 5.0

6884e3541834cc5310a3733f44b38910: DLL de la versión 5.0

2d351d67eab01124b7189c02cff7595f: Versión 5.0.2

41c673415dabbfa63905ff273bdc34e9: Versión 5.0.2

1e8226f7b587d6cd7017f789a96c4a65: DLL exploit de 32 bits

fb25dfd638b1b3ca042a9902902a5ff9: DLL exploit de 64 bits

df1a09dd1cc2f303a8b3d5097e53400b: botnet relacionada con el malware (IP
92.63.197.48)

Ver información original al respecto en Fuente:

Saludos,

ms, 22-10-2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies