56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

LeChiffre, ransomware Ran manualmente

por Bienvenidos a Portal Tecnologico 25 Enero 2016, 17:51 LeChiffre ransomware Nuevo Ejecutable Remoto Infeccion

LeChiffre es otro ransomware que recientemente se ha observado para causar algún daño importante (en Mumbai - leer más aquí). No hay mucho material sobre la que está disponible, así que decidimos echar un vistazo.

Es diferente a la mayor parte del ransomware presente hoy en día. En lugar de difundir a los usuarios y automáticamente infectar sus máquinas, LeChiffre necesita ser ejecutado manualmente en el sistema comprometido. Escenario común de infección es que los atacantes están escaneando automáticamente la red en busca de Escritorios remotos mal asegurados, agrietamiento, y después de acceder remotamente se ejecutan manualmente una instancia de LeChiffre.

Se encripta archivos y añade a sus nombres una extensión ".LeChiffre".

El nombre viene del francés - que literalmente significa "el número", pero también se le conoce como un "chiffrer" verbo y sustantivo "chiffrement", que significa la encriptación y cifrado - más detalles aquí:https://fr.wikipedia.org/wiki / chiffrement. (gracias ajeromesegura por la punta). Otra posible explicación es que los creadores querían referirse a un personaje de la serie de James Bond.

Muestra analizada: 4523ccfd191dcceeae8e884f82f5c7ad

Análisis del Comportamiento

Se distribuye como un típico ejecutable de Windows:

icono

Cuando lo ejecutamos lo que aparece es una interfaz gráfica con etiquetas en ruso:

LeChiffre_gui_translated

Gotas que es ejemplar en la papelera de reciclaje, disfrazado jpg:

copy_in_recycle_bin

 

Proceso de cifrado de archivos se inicia después de que corremos en forma manual. En primer botón de la parte superior analiza todos los discos disponibles y cifra los archivos con extensiones dadas. Resultado de la muestra:

cifrada
Y la información sobre demanda de rescate:
info

El usuario tiene un gran nivel de control sobre el proceso de cifrado. Al hacer clic en un botón de 4 º de la parte superior (Отдельно - por separado) podemos optar por nuestro propio un único archivo que queremos cifrar.

Proceso completo de cifrado es posible fuera de línea, sin conexión a Internet - que demuestra que las claves se generan a nivel local, no se descargan desde el servidor C & C, como en el caso de Cryptowall.

Proceso de recuperación de archivos es también muy raro en comparación con otros ransomware - atacantes quieren una víctima sólo les envió algunos archivos cifrados y el código secreto (es 128 bytes de largo - base64).

                                                                                                                                                                                                                                                                            malwarebytes.org

Proceso de cifrado de archivos se inicia después de que corremos en forma manual. En primer botón de la parte superior analiza todos los discos disponibles y cifra los archivos con extensiones dadas. Resultado de la muestra:

cifrada
Y la información sobre demanda de rescate:
info

El usuario tiene un gran nivel de control sobre el proceso de cifrado. Al hacer clic en un botón de 4 º de la parte superior (Отдельно - por separado) podemos optar por nuestro propio un único archivo que queremos cifrar.

Proceso completo de cifrado es posible fuera de línea, sin conexión a Internet - que demuestra que las claves se generan a nivel local, no se descargan desde el servidor C & C, como en el caso de Cryptowall.

Proceso de recuperación de archivos es también muy raro en comparación con otros ransomware - atacantes quieren una víctima sólo les envió algunos archivos cifrados y el código secreto (es 128 bytes de largo - base64).

Proceso de cifrado de archivos se inicia después de que corremos en forma manual. En primer botón de la parte superior analiza todos los discos disponibles y cifra los archivos con extensiones dadas. Resultado de la muestra:

cifrada
Y la información sobre demanda de rescate:
info

El usuario tiene un gran nivel de control sobre el proceso de cifrado. Al hacer clic en un botón de 4 º de la parte superior (Отдельно - por separado) podemos optar por nuestro propio un único archivo que queremos cifrar.

Proceso completo de cifrado es posible fuera de línea, sin conexión a Internet - que demuestra que las claves se generan a nivel local, no se descargan desde el servidor C & C, como en el caso de Cryptowall.

Proceso de recuperación de archivos es también muy raro en comparación con otros ransomware - atacantes quieren una víctima sólo les envió algunos archivos cifrados y el código secreto (es 128 bytes de largo - base64).

Proceso de cifrado de archivos se inicia después de que corremos en forma manual. En primer botón de la parte superior analiza todos los discos disponibles y cifra los archivos con extensiones dadas. Resultado de la muestra:

cifrada
Y la información sobre demanda de rescate:
info

El usuario tiene un gran nivel de control sobre el proceso de cifrado. Al hacer clic en un botón de 4 º de la parte superior (Отдельно - por separado) podemos optar por nuestro propio un único archivo que queremos cifrar.

Proceso completo de cifrado es posible fuera de línea, sin conexión a Internet - que demuestra que las claves se generan a nivel local, no se descargan desde el servidor C & C, como en el caso de Cryptowall.

Proceso de recuperación de archivos es también muy raro en comparación con otros ransomware - atacantes quieren una víctima sólo les envió algunos archivos cifrados y el código secreto (es 128 bytes de largo - base64).

Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba