Autor Tema: Ransomware, el virus que cifra tus Archivos !!!!  (Leído 9856 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5761
  • NEMO ME IMPUNE LACESSIT
Ransomware, el virus que cifra tus Archivos !!!!
« : septiembre 29, 2016, 05:38:01 pm »


Un grupo de investigadorees de seguridad de Brasil, llamado Morphus Labs, acaba de descubrir un nuevo ransomware de cifrado de disco completo (FDE - Full Disk Encryption)  esta misma semana, llamado Mamba. Mamba, como lo llamaron, utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Esto puede ser sólo el comienzo de una nueva era para los Ransomwares.

"Mamba", es una serpiente con un veneno paralizante. Igual que para las víctimas de este nuevo ransomware. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin eso, el sistema  no arranca.

El Mamba ransomware utiliza cifrado a nivel del disco duro
El ransomware Mamba se ha identificado el 7 de septiembre durante un procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño que los ataques basadosen archivos individuales. Los desarrolladores criminales han utilizado el DiskCryptor para cifrar la información., una herramienta de código abierto

Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin embargo, Petya cifra sólo las tablas maestra de archivos (MFT) con lo que no afectan a los datos en sí.

Tras la exitosa infiltración, Mamba crea su carpeta titulada DC22 en la unidad C del equipo donde coloca sus archivos binarios. Un servicio del sistema se crea y alberga el proceso del ransomware. Un nuevo usuario llamado MythBusters se crea asociado con la contraseña 123456.

También sobrescribe el registro de inicio maestro (MBR) del disco del sistema que contiene el gestor de arranque para el sistema operativo. Esto prohíbe efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el código de descifrado.



El mensaje de rescate pide a los usuarios a pagar la suma de 1 BTC por máquina infectada a los atacantes. Los investigadores han observado los operadores maliciosos han mencionado servidores en el texto. Esto probablemente significa que Mamba se puede utilizar para atacar a las granjas de servidores y otros equipos de la red importantes.

Citar
You are Hacked ! H.D.D Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOURID: 123152”. This message is all that remains for the victims of this new Ransomware. To get the decryption key, it’s necessary to contact somebody through the informed e-mail address, give the ID and pay 1 BTC per infected host.


Mamba se distribuye a través de paquetes de exploits, archivos DLL infectadas, código Javascript malicioso o descargas. Es muy probable que el sistema de cifrado utilizado es la criptografía AES-512, que es imposible de descifrar. Diversos troyanos también pueden llevar la carga útil Mamba como parte de un ataque eficiente, agresiva contra objetivos de alto perfil.

En el momento actual, no hay ninguna utilidad de descifrado que puede restaurar las unidades infectadas Mamba.

http://bestsecuritysearch.com/mamba-ransomware-discovered/
https://www.linkedin.com/pulse/mamba-new-full-disk-encryption-ransomware-family-member-marinho?trk=prof-post

PD: Hace menos de un mes tuvimos en la empresa un ataque de estos (del RW normal, no este mamba) y se perdió la PC del contador y como 5 PC's mas fueron infectadas  x_x
Follow members gave a thank to your post:
« Última Modificación: noviembre 29, 2016, 08:01:25 pm por ELITE »

Desconectado ernestoelunico

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 13
  • -Receive: 75
  • Mensajes: 3060
  • Laa shay'a waqi'un Mutlaq bala kul'un mumkin
    • Cositas E-shop
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #1 : septiembre 29, 2016, 08:28:58 pm »
donde rayos navegan para infectarse de esto, porque ni uno que anda por todo internet vagando se topa con algo asi

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5761
  • NEMO ME IMPUNE LACESSIT
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #2 : septiembre 29, 2016, 08:55:37 pm »
donde rayos navegan para infectarse de esto, porque ni uno que anda por todo internet vagando se topa con algo asi

Diablos !!!! no men, la infección es super maníaca  :sur: :sur:

Les contare lo que nos paso:
Un correo le callo al contador, venia de un Felipe.algo@nuestrodominio.com ojo a eso, secuestraron el dominio, el usuario felipe no existe y nunca existio en los correos de la empresa pero el correo venia de felipe@ y nuestro dominio, nuestro dominio privado empresarial. El correo traía un "estado de cuenta" de la empresa  :-/

El contador al ver que el usuario era de nuestro dominio y que era un estado de cuenta abrió el adjunto, juela  x_x x_x su pc se encripto carpeta por carpeta y se perdió todo, luego el maldito virus se paso por la red (es la única explicación lógica, aunque se supone que no se transmite por red ya que es solo código JS para encriptar  la data) e infecto a 5 PC's mas, entre ellas la mia  :p ojo, infecto PC's incluso sin cliente de correo electronico, por eso lo de que se paso por red.

En mi caso me comio 1237 archivos, principalmente codigo php que yo tengo ya subversionado  :phew: :phew: en mi caso todo lo que se infecto no tuvo nada de preocupacion, pero a dos usuarios se les cambio HDD porque el virus, aun despues de formatearlo queda, segun paginas de análisis de virus, incluso los de Kasperke Lab, que son los del AV que tenemos nos recomendaron eso. ellos vinieron a ver el problema con los representantes de KAV de ES.

Por cada carpeta te deja una notificación para desencriptar los archivos, por cada carpeta pedia $2,000.00 :haha:


En fin, este virus no solo es por meterse a paginas raras, cualquier descuido aun de un informático puede causar serias consecuencias. Me preocupa que este nuevo mamba, busca los serves, afortunadamente ningun server fue infectado de los que tenemos  :phew:

Desconectado aLeXyZ

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 31
  • -Receive: 58
  • Mensajes: 1267
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #3 : septiembre 29, 2016, 10:09:27 pm »
según lo que contas mas parece que alguien con acceso a crear una cuenta de correo dentro de la empresa se lo mando adrede al contador

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5761
  • NEMO ME IMPUNE LACESSIT
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #4 : septiembre 29, 2016, 10:21:36 pm »
según lo que contas mas parece que alguien con acceso a crear una cuenta de correo dentro de la empresa se lo mando adrede al contador

Alguien ?? alguien como La jefa o como yo que solo nosotros tenemos los accesos al servidor de correos de godday??

No men, nada de eso. Nada de registros de ese correo en goddady

Desconectado therude92

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 88
  • -Receive: 72
  • Mensajes: 1036
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #5 : septiembre 29, 2016, 11:26:21 pm »
En mi caso me comio 1237 archivos, principalmente codigo php que yo tengo ya subversionado  :phew: :phew:
me llama la atencion esta parte, como hiciste para que no siguiera "comiendo" mas archivos? simplemente apagaste la compu? como te diste cuenta que fue esa cantidad y que lo estaba haciendo?  :shockd:

Desconectado salvadoresc

  • Global Moderator
  • Trade Count: (13)
  • The Communiter-
  • *
  • Thank You
  • -Given: 1463
  • -Receive: 779
  • Mensajes: 11648
  • Adobe Certified Expert en ACISEAPRENDE
    • Foro de Diseno - Pixeles al Desnudo
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #6 : septiembre 30, 2016, 07:26:38 am »
no te secuestraron nada, cualquier script de envio de correo puede poner en el header que ha sido "enviado por" la cuenta de correo no tiene que existir necesariamente para que llegue de esa forma...

yo he escuchado muchos casos de infeccion con este tipo de herramientas, procuren tener backups de sus datos importantes para evitar pasar malos ratos
Awaken my child, and embrace the glory that is your birthright. Know that I am the Overmind; the eternal will of the Swarm.

haycoctelesamor.com

Desconectado snake of persia

  • Trade Count: (0)
  • Sv Full Member
  • *
  • Thank You
  • -Given: 15
  • -Receive: 10
  • Mensajes: 541
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #7 : septiembre 30, 2016, 08:46:34 am »
pero a dos usuarios se les cambio HDD porque el virus, aun despues de formatearlo queda, segun paginas de análisis de virus, incluso los de Kasperke Lab, que son los del AV que tenemos nos recomendaron eso. ellos vinieron a ver el problema con los representantes de KAV de ES.

Curioso y aun haciendo un formato a bajo nivel te quedara rastro en el disco?
Ryzen 5 2600 |MSI B450 TOMAHAWK |Corsair Vengeance LPX 16GB (2x8GB) DDR4 2933MHz | Corsair CX 650 | GIGABYTE G1 1060 3GB | Cooler Master HAF 912 | MSI CORE FROZR L

Desconectado javierarenas

  • Trade Count: (0)
  • Sv Member
  • ***
  • Thank You
  • -Given: 9
  • -Receive: 6
  • Mensajes: 209
  • TrollCenter founder since 1995.
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #8 : septiembre 30, 2016, 10:44:53 am »
Curioso y aun haciendo un formato a bajo nivel te quedara rastro en el disco?

Un borrado total del disco como el descrito, deberia eliminar cualquier rastro de informacion. El virus se aloja en el sector maestro de arranque con una carpeta oculta, por lo que un formatero normal no es suficiente.

https://wiki.archlinux.org/index.php/Securely_wipe_disk

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5761
  • NEMO ME IMPUNE LACESSIT
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #9 : septiembre 30, 2016, 08:56:25 pm »
me llama la atencion esta parte, como hiciste para que no siguiera "comiendo" mas archivos? simplemente apagaste la compu? como te diste cuenta que fue esa cantidad y que lo estaba haciendo?  :shockd:

Nadie pudo hacer nada  x_x

La infección fue de 08.22am a 08.39am, el virus capturo de cada PC lo que quiso, excepto la del contador, esa hasta el fondo de pantalla le cambio lol, esa murió por completo


no te secuestraron nada, cualquier script de envio de correo puede poner en el header que ha sido "enviado por" la cuenta de correo no tiene que existir necesariamente para que llegue de esa forma...

yo he escuchado muchos casos de infeccion con este tipo de herramientas, procuren tener backups de sus datos importantes para evitar pasar malos ratos

Bien, gracias, voy a investigar de este tema  :thumbsup:

Curioso y aun haciendo un formato a bajo nivel te quedara rastro en el disco?

Un borrado total del disco como el descrito, deberia eliminar cualquier rastro de informacion. El virus se aloja en el sector maestro de arranque con una carpeta oculta, por lo que un formatero normal no es suficiente.

https://wiki.archlinux.org/index.php/Securely_wipe_disk

Repito, fue la gente de KAV la que nos recomendo eso, y por cualquier cosa se reemplazaron los HDD  :phew:

Ahora imaginen este mamba que todo el HDD te encripta  :shockd: :shockd:

Desconectado Charlie

  • Trade Count: (5)
  • The Communiter-
  • *
  • Thank You
  • -Given: 194
  • -Receive: 632
  • Mensajes: 5366
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #10 : septiembre 30, 2016, 09:16:21 pm »
Repito, fue la gente de KAV la que nos recomendo eso, y por cualquier cosa se reemplazaron los HDD  :phew:

Ahora imaginen este mamba que todo el HDD te encripta  :shockd: :shockd:


No es que quede despues de formateado, lo que pasa es que seguro alguno de los archivos de trabajo que tenían como backup seguía infectado y contagiaba de nuevo las PCs, te lo digo porque yo he eliminado ramsonware sin formatear, eso si los archivos encriptados hay que darlos por perdidos.

Como se a contagiado? en los casos que yo he visto a sido por antivirus que no estan al dia, sistemas operativos pocos seguros (windows XP) y pendejez del usuario que abre cualquier archivo adjunto.
"Aquel que nunca va a razonar es un fanático intolerante, el que no quiere razonar .. es un tonto, el que no se atreve a razonar, será un eterno esclavo"
William Drummond

Desconectado brother

  • Trade Count: (0)
  • Sv Full Member
  • *
  • Thank You
  • -Given: 23
  • -Receive: 13
  • Mensajes: 522
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #11 : octubre 24, 2016, 08:59:05 am »
Viendo que mencionan a KAV algun contacto para una cotizacion  :roll:?

Desconectado allandj

  • Trade Count: (0)
  • Sv Member
  • ***
  • Thank You
  • -Given: 6
  • -Receive: 13
  • Mensajes: 285
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #12 : noviembre 27, 2016, 11:17:36 am »
Reviviendo el tema...
Alguien mas ha tenido experiencias con ransomware?
En la empresa se nos han infectado 3 PC's, y según lo que hemos podido recabar fué Cerber Ransomware, tuvimos que ver qué archivos eran los que no estaban encriptados y recuperar unos cuantos y luego formatear la PC por cualquier rastro...pero imagino debe haber alguna manera de poder desencriptar y desinfectarse de este ransomware.
Las infecciones se dieron porque se recibió correo electrónico de alguien conocido y que mandaba a descargar un reporte, al descargarlo, comenzó la infección y aparecieron otras 2 PC's infectadas, esos 2 equipos se infectaron sin acción del usuario, no descargaron nada...

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5761
  • NEMO ME IMPUNE LACESSIT
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #13 : noviembre 27, 2016, 11:21:03 am »
No, no van a recuperar nada.


Algunos expertos aseguran que aun después de formateado el HDD, quedan rastros del RW asi que mejor aconsejan desechar el HDD, en la empresa eso hicimos

Desconectado salvadoresc

  • Global Moderator
  • Trade Count: (13)
  • The Communiter-
  • *
  • Thank You
  • -Given: 1463
  • -Receive: 779
  • Mensajes: 11648
  • Adobe Certified Expert en ACISEAPRENDE
    • Foro de Diseno - Pixeles al Desnudo
Re:El nuevo ransomware que cifra el disco duro completo se llama Mamba !!!!
« Respuesta #14 : noviembre 28, 2016, 10:06:26 am »
no creo eso de que queden rastros... pero no he tenido experiencias con esos virus de momento.
Awaken my child, and embrace the glory that is your birthright. Know that I am the Overmind; the eternal will of the Swarm.

haycoctelesamor.com