sexta-feira, 24 de janeiro de 2014

Ransomware - Sequestrando seus dados - Parte 2




Dando continuidade do primeiro post sobre ransomware, vamos fazer a análise desse malware.
Atualmente existe duas versões do ransomware, a primeira versão contém algumas falhas de programação, assim foi possível a geração de ferramentas para a decriptação dos arquivos. A segunda versão é bem mais complexa e não terá nenhuma solução (apenas se for encontrada alguma falha no código do malware).
Ambas versões fazem um scan na máquina para encriptar os arquivos com as seguintes extensões:
    .jpeg ; .docx ; .xlsx ; .db ; .pdf ; .olk ; .dat ; .zip ; .rar ; .qbw ; .jpg ; .doc ; .bmp ; .png ; .xls ; .txt 
    .rtf ; .tif ; xml ; .php ; .sxg ; .ods ; .sql ; .cdb ; .crd ; .daf ; .db2 ; .db3 ; .dbc ; .dbs ; .dbf ; .dbv
    .edb ; .gdb ; .mdb ; .mdf ; .odb ; .ora ; .owg.
E renomeia os arquivos encriptados para "nome_arquivo.aes"
Vamos analise do malware versão 1: 

  1. Antes de executar um arquivo malicioso no Windows sempre roda o regshot para verificar quais arquivos ele criar/alterar no sistema operacional. Esse criou os seguintes:     
 C:\ProgramData\local\aescrypter.exe -> Linha de comando WinRar
 C:\ProgramData\local\svchost.exe -> Responsável pelo bloqueio da tela
 C:\ProgramData\local\vpkswnhisp.dll
 C:\Windows\System32\csrsstub.exe
 C:\Windows\System32\dcomcnfgui.exe -> Responsavel pela encriptação e instalação de serviços
 C:\Windows\System32\tcpsvcss.exe -> Ferramenta de decriptação
 C:\Windows\System32\tracerpts.exe
 C:\Windows\System32\ucsvcsh.exe
 C:\Windows\System32\wcmtstcsys.sss -> Lista dos arquivos encriptados
 C:\decrypt\decrypt.exe -> Ferramenta de decriptação
 C:\how to decrypt aes files.lnk
Considerei esses os principais arquivos do malware. Fizemos um vídeo do processo de encriptação e decriptação manualmente para mostrar como essa "infecção" pode ser danosa ao nosso ambiente. Existem outras formas, porem essa realizada é mais fácil para assimilação !!!




Como evitar ?
 
  • Mantenha seu sistema sempre atualizado. Principalmente aqueles publicados na internet.
  • Tenha uma boa ferramenta anti-malware.
  • Aumente a segurança de senhas.
  • Políticas de firewall e IDS/IPS podem ajudar nunca possível intrusão.
  • A liberação da porta 3389 para internet é chamado para os hackers. Tente mascarar a porta.
   


Postado por às

Nenhum comentário:

Postar um comentário

Todos os comentários serão previamente avaliados pelos administradores. Obrigado.

Assinar: Postar comentários (Atom)