56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

Maktub Locker un ransomware muy bien diseñado

por Bienvenidos a Portal Tecnologico 26 Marzo 2016, 13:38 ransomware Grafica Interfaz Nuevo Ataque Seguridad Encriptacion Archivos Cobro

Maktub Locker es otro ransomware que viene con una interfaz gráfica de usuario muy bien diseñado y algunas características interesantes. Su nombre proviene de la palabra árabe Maktub  que quiere decir "esto está escrito" o "este es el destino". Los autores fueron probablemente tratando de hacer una broma haciendo referencia al acto de ser infectado con el ransomware, dando a entender que es sin invitación e inevitable, al igual que el destino.

Las muestras analizadas

Un agradecimiento especial a MalwareHunterTeam y Yonathan Klijnsma para compartir las muestras.

El análisis del comportamiento

Este ransomware viene en una campaña de spam, que pretende ser un documento con una actualización de la relación de servicio. Esta vez embalaje completo tiene un tema recurrente: nombre del archivo adjunto se hace para asemejarse a un documento (ejemplos: "TOS-Actualización: [...] .scr", "20160321_tos.scr"), también tiene aa-icono de documento como:

tos_update_icons
Un truco interesante utilizado por este ransomware para que simule el comportamiento legítimo es que realmente muestra un documento! En concreto, una actualización de TOS falsa en .rtf formato:

update_privacyMientras el usuario está ocupado la lectura del documento, el programa malicioso se ejecuta en segundo plano y encripta su / sus archivos.

proceso de cifrado

Maktub Locker no necesita descargar una clave desde el servidor CNC - se puede cifrar los datos fuera de línea también. Extensiones dadas a los archivos cifrados son aleatorios, generados en tiempo de ejecución - su patrón es: [az] {4,6}

El nuevo y sorprendente de todo es que los archivos cifrados son mucho más pequeños que los originales.Parece que este ransomware no sólo encripta sino que también comprime los archivos.

Los archivos originales y sus tamaños:

original

Los mismos archivos después del cifrado:

encrypted1

Véase a continuación una visualización de bytes.

square.bmp : a la izquierda - original, haga cifrada con Maktub Locker :

enc_square1 enc_square1_bmp- El mapa de bits se comprime muy bien, por lo que el archivo cifrado es pequeña

Una posible razón de compresión de archivos en primer lugar es para acelerar el proceso de cifrado.

El contenido cifrado es diferente en cada ejecución de la muestra. Sin embargo, en una sola pasada, los archivos con el mismo contenido le dará la misma salida. Podemos concluir que la clave aleatoria se genera sólo una vez - al comienzo del programa. Después de eso, cada archivo se cifra utilizando la misma clave.

Una vez finalizada la codificación, la siguiente interfaz gráfica de usuario aparece:

maktub_gui

Proporciona una víctima de una clave personalizada con formato: 82 trozos, cada uno de 5 caracteres de largo (segmento de formato: [A-Z0-9] {5}). Cada vez que se ejecuta la muestra, esta clave se acaba de generar.

La misma información (y el diseño) se pueden encontrar en un archivo HTML ( _DECRYPT_INFO _ [$ EXTENSIÓN] .html ), cayeron en cada directorio encriptado. 

Sitio web para la víctima

En estos días, es una característica común de ransomware para proporcionar un sitio web TOR-visitada por la víctima y Maktub Locker no es diferente. Al igual que en la nota de rescate, el sitio web sólo está disponible en Inglés. Con el fin de acceder a la página individual, la víctima se supone que pega su / su llave (el suministrado en la nota de rescate) en la casilla correspondiente en la página web.

introducir clave

A continuación se redirecciona a la página web principal. En comparación con otras familias ransomware, Maktub Locker en realidad tiene un sitio web muy bien diseñado, incluyendo el lenguaje utilizado limpio y educado.

website1

Viene con una demo, lo que permite la descodificación de 2 archivos seleccionados:

decrypt_files

El precio de los archivos de descifrado se inicia con 1,4 BTC y aumenta con el tiempo. Los distribuidores advierten que la página web se puede tomar abajo y entonces no sería posible recuperar los archivos cifrados:

incremento

Fuente:malwarebytes.org

Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba