RANSOMWARE MAMBA CIFRA EL DISCO DURO

Un grupo de investigación de Brasil Infosec, Morphus Labs, acaba de descubrir un nuevo cifrado de disco completo (FDE) ransomware llamado Mamba

Aqui teneis un analisis real paso por paso de como los expertos en seguridad descubre un malware y como averiguan sus conclusiones.

Mamba, utiliza la estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales.

"Usted está pirateado! HDD cifrado, descifrado en contacto con Para Key (w889901665@yandex.com) YOURID: 123152" .Este mensaje es todo lo que queda para las víctimas de este nuevo ransomware. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico informada, dan la identificación y pagar 1 BTC por cada huésped infectado.

Parece que la familia ransomware nivel de disco está creciendo. Un ransomware similar, llamado Petia, se hizo famoso de marzo de este año debido a la estrategia de cifrado de disco, aunque algunos análisis dice que el malware cifra la tabla maestra de archivos (MFT) y no los propios datos.

Pero Mamba ransomware difiere de Petia exactamente en este punto. Se utiliza un cifrado de disco herramienta de código abierto completo llamado DiskCryptor para cifrar firmemente la estrategia de cifrado data.disk, aunque algunos análisis dice que el malware se cifra la tabla maestra de archivos (MFT) y no los propios datos.

El ransomware Mamba aparecio el pasado 7 de septiembre, durante un procedimiento de respuesta a incidentes de una compañía multinacional que tenían algunos servidores comprometidos por este malware en Brasil, EUA y filiales India.

Como se indica en la introducción de este artículo, el ransomware obstaculiza el sistema operativo si se haya iniciado. Sobrescribe el registro de inicio maestro del disco de arranque (MBR) por uno personalizado que muestra el mensaje de rescate y pide la contraseña.

La primera estrategia buscaba algunas partes del mensaje de rescate en internet, para la sorpresa de los investigadores aparecio 1 resultado en google "en contacto con nosotros para la clave de descifrado". Se realizo un análisis utilizando Malwr. Este resultado les dio alguna información importante, como el nombre del archivo (141.exe) y el hashes.Malwr.

Buscando el hash del archivo "141.exe" en VirusTotal, han encontrado algunos motores antivirus que unen la muestra a un software malicioso ransomware, como TrendMicro llamándolo un ".engines Ransom_HDDCRYPTOR.A" que unen la muestra a un software malicioso ransomware, como TrendMicro llamándolo una .engines "Ransom_HDDCRYPTOR.A".

Al mismo tiempo, empezamos a buscar el malware en otros hosts de la red de la empresa. Después de un poco de esfuerzo, utilizando una solución anti-malware, empezamos a descubrir un archivo malicioso en algunos sitios web diferentes. El nombre del archivo era "152.exe" de la red de la empresa.

La realización de un análisis dinámico del "152.exe" con la TIV y Hybrid-Análisis, empezamos a encontrar algunas similitudes entre las cadenas de volcado de memoria del Mamba y el mensaje de rescate. A decir verdad, nos encontramos exactamente el mensaje "Usted está pirateado! HDD cifrado, descifrado en contacto con Para Key (w889901665@yandex.com) YOURID: 123152 "-

Para entender mejor cómo funciona Mamba, empezamos a realizar algunas pruebas con él en nuestro laboratorio. En un primer ensayo, nos encontramos con la muestra básicamente en una máquina virtual de Windows 8.1, pero, por desgracia, no pasó nada menos que un archivo de registro en el directorio "C:\ DC22" diciendo que la contraseña no se ha informado.

En un segundo intento, nos dimos una contraseña como un parámetro y el resultado fue diferente. Algunos otros archivos fueron creados en el directorio "C:\DC22",

Después de unos segundos, el de Windows reinicia y, cuando regresó, el sistema operativo era aparentemente normal y estos fueron los mensajes que se encuentran en el "log_file.txt": Instalar el controlador ..., instalar el controlador con éxito .., la obtención de información unidad compartida ..., Tratar de crear un servicio ..., la creación de un servicio con éxito. reiniciar las ventanas ...

A partir de estos mensajes que nos dieron algo más de información:

  • Un nuevo servicio fue creado - no menciona el nombre
  • Están parecer utilizando la herramienta de DiskCryptor
  • Tal vez tienen la intención de obtener algunas credenciales de la máquina utilizando "netpass.exe"
  • El "netuse.txt" enumera las carpetas compartidas asignadas por el usuario

Por lo tanto, hemos utilizado Regshot para descubrir algo más de información acerca de los cambios causados ​​por el malware en el PC, incluyendo el nuevo servicio creado por el programa malicioso. Como resultado, hemos descubierto que uno de los nuevos servicios se llamó "DefragmentService". También descubrimos que el malware creado un nuevo usuario en la máquina llamada "MythBusters" con la contraseña "123456".

Así, de acuerdo con este servicio, después del reinicio de la máquina, se esperaba que "152.exe" para ser llamado con los mismos parámetros que damos en la primera carrera. Seguimos viendo el proceso de la máquina, pero sin 152.exe corría.

A continuación, se trató de reiniciar la máquina de nuevo para comprobar si debe aparecer el mensaje de rescate, pero el sistema arrancado de nuevo con normalidad.

La realización de un análisis sobre "dcrypt.exe" y "dccon.exe", la interfaz gráfica de usuario y DiskCryptor comando como, respectivamente, se encontró que el parámetro de contraseña es precedida por una "p". Por lo tanto, tratamos de ejecución "152.exe" con este parámetro antes de sumergirse en el trabajo de ingeniería inversa.

Para nuestra sorpresa, se mostró esta vez el proceso de cifrado funcionaba y el mensaje de rescate durante el arranque. La única cosa a tener en cuenta es que la contraseña era el "-p" en sí y no la contraseña proporcionada por el siguiente parámetro como esperábamos. Por lo tanto, la cosa es, Mamba estaba esperando un segundo argumento para funcionar correctamente.

El proceso que encripta el disco fue el "dccon.exe", llamado por el "152.exe". Durante el proceso, fue posible seguir el cifrado con el comando "dccon -info pT0" y el resultado fue como sigue:

Después del reinicio, que no se produce automáticamente, el mensaje de rescate se demostró exactamente lo mismo que las máquinas comprometidas de la compañía.

En esta etapa, el archivo de registro se parece a lo siguiente:

  • instalar el controlador ...
  • instalar el controlador con éxito ..
  • la obtención de información unidad compartida ...
  • Tratar de crear un servicio ...
  • la creación de un servicio con éxito. reiniciar las ventanas ...
  • Comprobación de la existencia de recursos. Ellos están bien…
  • controlador instalado antes ...
  • a partir ServiceMain ...
  • ServiceMain: Entrada
  • ServiceMain: Realización de operaciones de inicio del servicio
  • ServiceMain: A la espera de subproceso de trabajo para completar
  • ServiceWorkerThread: Entrada
  • ServiceCtrlHandler: Entrada
  • ServiceCtrlHandler: Salir
  • A partir Monte aplicación ...
  • Comprobación de la existencia de recursos. Ellos están bien…
  • controlador instalado antes ...
  • montaje: comenzar ...
  • pasar:
  • 123456
  • montaje: montaje de la unidad de compartimiento ...
  • montaje: OS es win2003 o menor ...
  • montaje: unidad de recurso compartido que no se encuentra ...
  • montaje: Montaje de salida ...
  • iniciar el cifrado del disco duro ...
  • Comprobación de la existencia de recursos. Ellos están bien…
  • controlador instalado antes ...
  • Tratar de crear un servicio ...

Como podemos ver, en algún momento, la contraseña utilizada para cifrar el disco se imprime en el archivo de registro.

Hemos encontrado una buena información acerca de esta amenaza hasta ahora, pero no hemos encontrado el vector de infección todavía. Sabemos que la contraseña utilizada para cifrar el disco se da como un parámetro, por lo que, es posible que exista algún script u otro tipo binario que llama al código "152.exe" dándole la contraseña en texto claro que va a utilizar. También creemos que la contraseña es la misma para todas las víctimas, o puede ser algo relacionado con el entorno de las víctimas, al igual que el nombre de host, o algo por el estilo.

Los actores encargados de esta campaña parece hacer algo de dinero. Se estableció contacto con la dirección de correo electrónico y nos solicitaron un pago de 1 BTC por máquina infectada.

Este es el mensaje de respuesta que recibimos:


Andy saolis w889901665@yandex.com
Su disco duro cifrado AES Por 2048bit, enviar 1BTC por host de Mi billetera Bitcoin, a continuación, te damos clave de descifrado para el servidor de disco duro !!. Mi Bitcoin Monedero Dirección: 1NLnMNMPbxWeMJVtGuobnzWU3WozYz86Bf
Aceptamos solamente Bitcoin, que es tan fácil! puede utilizar corredores que cambiar su dinero a BTC ASAP es la manera rápida!
Aquí: https://localbitcoins.com /
Si usted no tiene una cuenta en Bitcoin, Lea primero: https://bitcoin.org/en/getting-started bitcoin Market : https://blockchain.info/

Un punto que nos llamó la atención fue la mención de "servidor" en el mensaje de respuesta. Sería su estrategia consistirá en poner en peligro sólo los servidores? Corrobora la hipótesis de que el hecho de que las otras máquinas con el archivo "152.exe" no se vean comprometidos.


Fecha actualización el 2016-9-16. Fecha publicación el 2016-9-16. Categoría: Malware. Autor: Oscar olg Mapa del sitio
mamba