El ransomware Nullbyte pretende ser la aplicación Pokemon Go

por Bienvenidos a Portal Tecnologico  -  7 Septiembre 2016, 15:54  -  #ransomware Nullbyte, #ransomware, #NecroBot, #xXToffeeXx, #Michael Gillespie, #decifrador, #archivos, #PokemonGo, #bitcoins, #Peligro

El ransomware Nullbyte pretende ser la aplicación Pokemon Go
El ransomware Nullbyte pretende ser la aplicación Pokemon Go
El ransomware Nullbyte pretende ser la aplicación Pokemon Go
El ransomware Nullbyte pretende ser la aplicación Pokemon Go
El ransomware Nullbyte pretende ser la aplicación Pokemon Go

Una nueva variante del ransomware DetoxCrypto llamada Nullbyte ha sido descubierta por el investigador de seguridad de squared, xXToffeeXx , que pretende ser la popular aplicación Pokemon Go llamada NecroBot, cuando se infecta, el ransomware cifrará los archivos de la víctima y luego exigirá 0.1 bitcoins para descifrar los archivos . Afortunadamente, Michael Gillespie fue capaz de crear un descifrador para que las víctimas puedan obtener sus archivos de nuevo de forma gratuita.

Este ransomware se distribuye a partir de un proyecto de Github que pretende ser una versión reconstruida de la aplicación NecroBot con la esperanza de que la gente lo descargará pensando que era la aplicación legítima.

 


Cuando alguien descarga y ejecuta la aplicación se mostrará la interfaz estándar de NecroBot pidiendo a la víctima iniciar sesión.
 


Si alguna información de acceso, real o falso, se introduce y se pulsa el botón de inicio de sesión, el programa pretenderá acceder a los servidores de NecroBot. En el fondo, sin embargo, el ransomware va a robar las credenciales introducidas cargándolos en el servidor de comando y control y luego comenzará a cifrar los archivos de la víctima.
 


Cuando haya terminado, el ransomware, visualizará la pantalla de bloqueo, que insta al usuario a pagar 0.1 bitcoins para descifrar los archivos.



El proceso de cifrado del ransomware Nullbyte 

De acuerdo con el análisis posterior de 
MalwareHunterTeam, el ransomware Nullbyte cifrará los archivos mediante el cifrado AES y luego añadirá la extensión _ nullbyte a los archivos cifrados. Por ejemplo, se convertiría test.jpg en test.jpg_nullbyte cuando esté cifrado el archivo.


Durante el cifrado de archivos, el ransomware Nullbyte cifrará cualquier archivo que se encuentra en la carpeta siguiente:

 

 
%USERPROFILE%\Documents
%USERPROFILE%\Downloads 
%USERPROFILE%\Favorites 
%USERPROFILE%\Pictures 
%USERPROFILE%\Music 
%USERPROFILE%\Videos 
%USERPROFILE%\Contacts 
%USERPROFILE%\Desktop

Mientras se ejecuta, este ransomware también se terminará los procesos de Chrome, cmd, taskmgr, Firefox, iexplore, y ópera. Esto se hace para que sea difícil quitar el ransomware o se pueda buscar ayuda en la web.

Por último, pero no menos importante, el ransomware generará una captura de pantalla de las pantallas activas de Windows y lo subirá al servidor de comando y control del ransomware. En este momento, no se sabe cómo se utiliza la pantalla, pero podría ser utilizado para un posible robo de información o chantaje.

Desencriptando el ransomware Nullbyte

Afortunadamente, Michael Gillespie fue capaz de 
crear un descifrador para el ransomware Nullbyte. Las instrucciones sobre cómo utilizar el descifrador se pueden encontrar en la Ayuda y soporte del tema sobre el ransomware Nullbyte.

A continuación, se muestra una captura de pantalla del descifrador para descifrar los archivos cifrados por este ransomware.

Archivos asociados con el ransomware Nullbyte 

 

 
%UserProfile%\Desktop\DecryptInfo.exe %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost32.exe %UserProfile%\Documents\bg.jpg %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DecryptInfo.exe %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enhost32.exe

IOC:
 

 
SHA256: 96992b32a1bd469dfb778d8d2d1a24dbc41d5adc11d05efa659e6c85de0f50ad

Tráfico de red:
 

 
https://tools.feron.it/php/ip.php ftp://ftp.taylorchensportfolio.netai.net/DECRYPTINFO-LAUNCHED ftp://ftp.taylorchensportfolio.netai.net/DECRYPT-REQUEST
 

Fuente: bleepingcomputer

Para estar informado de los últimos artículos, suscríbase: