Una nueva versión del ataque SamSam Ransomware ataca a las víctimas específicas que ha seleccionado el autor de Malware y elude la detección utilizando técnicas más sofisticadas.
Hace que sea más difícil detectar y rastrear después de lanzar su ataque ya que emplea las técnicas más avanzadas.
A diferencia de la versión anterior de SamSam Ransomware Attack, la nueva versión usaba un módulo diferente e interactuaba entre sí, lo cual discutiremos más detalladamente.
Para un ataque exitoso, debe ingresar la contraseña manualmente para ejecutar este ransomware específicamente en la máquina de víctimas.
El autor del malware utiliza el ingenioso truco que hace que nadie pueda analizar el código ransomware, incluso no podemos ejecutar el ransomware en una víctima o máquina de prueba, lo que significa que solo el autor puede ejecutar el código.
Además, no se infectará si el archivo se descarga accidentalmente y se ejecuta en su computadora porque se requiere una contraseña para que se ejecute la carga útil que debe proporcionar el atacante.
El autor del Malware de esta nueva versión de SamSam Ransomware Attack lo utilizó con un solo propósito, lo que significa que solo se usa para ataques dirigidos.
El creador de este ransomware ha escogido particularmente a las víctimas, también esto es lo que hace que este ransomware sea tan intrigante.
Como trabaja el ataque SamSam Ransomware
SamSam Ransomware utiliza 5 componentes principales para comprometer a las víctimas y 4 de ellos son archivos reales y el resto es participación humana directa.
El primer componente contiene archivos de proceso por lotes que tienen algunas configuraciones y requiere una parte real de participación humana que debe ser ejecutada manualmente por el autor de Malware.
El atacante ejecuta el archivo bat en la computadora comprometida con una contraseña como parámetro de línea de comandos.
Recibe la contraseña a través del parámetro de línea de comando de un atacante y la contraseña se ingresará sin el uso de los archivos.
Como es un ataque manual, es muy difícil analizar la carga principal y reconstruir el escenario de ataque manual completo porque el atacante borra algunos archivos y registros.
El segundo Componente es "corredor", que se usa para descifrar y lanzar la Carga Útil, que es bastante simple y no ha involucrado ninguna funcionalidad de ofuscación.
De acuerdo con Malwarebytes, busca en los directorios un archivo con una extensión de .stubbin que haya sido colocada allí por el atacante. El archivo stubbin es el ransomware encriptado. Lee inmediatamente los bytes del archivo y luego borra el archivo del disco.
El tercer componente contiene la DLL separada para el código de descifrado que no está dentro de la versión anterior y estaba contenida dentro de Runner EXE.
Finalmente, componente cuatro, el contenido de la carga útil de malware cifrado, *.stubbin que se iniciará en la máquina de la víctima y encriptará el archivo del disco y exigirá el rescate.
Fecha actualización el 2021-06-20. Fecha publicación el 2018-06-20. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: gbhackers