elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [Ayuda] Ransomware desconocido? + varias capas de Compresión
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Ayuda] Ransomware desconocido? + varias capas de Compresión  (Leído 3,416 veces)
**Aincrad**


Desconectado Desconectado

Mensajes: 598



Ver Perfil WWW
[Ayuda] Ransomware desconocido? + varias capas de Compresión
« en: 29 Junio 2021, 02:33 am »

Tipo: Ransomware
Lenguaje: C++
Autor : Desconocido



Hola, les cuento rápido.

Encontré este ransomware que cifra los archivos con extension .naar .

Tiene múltiples capas de compresión, y por alguna razón el Windows Defender no detecto nada. bueno tampoco esperaba que detectara algo .

Este es el executable Principal :

Código:
https://anonfiles.com/b2C3963bu7/setup_x86_x64_install_exe



Al extraerlo me deja otro instalador :



Al extraerlo por segunda y ultima vez :



Resulta que los supuestos .txt , son executables tambien :





Estos son los archivos Finales :

Código:
https://anonfiles.com/H9Ie9e33u3/setup_installer_rar

Muestra de Archivo Infectado :

Código:
https://anonfiles.com/t3Ma9138u0/Screenshot_5.png_neer

El mensaje que deja es este :





Hay alguien con conocimientos avanzados en reversing, o alguien que conozca la cura a esto?

gracias de antemano


En línea



xxxposeidonxxx

Desconectado Desconectado

Mensajes: 82



Ver Perfil WWW
Re: [Ayuda] Ransomware desconocido? + varias capas de Compresión
« Respuesta #1 en: 29 Junio 2021, 10:32 am »

https://www.hybrid-analysis.com/sample/968cae9bd080213c93d9742264c5e3707115d9078ad8ede273915e303e28343d/60dad6d75bd356448a67d53c

[Mod] Link arreglado
« Última modificación: 1 Julio 2021, 23:08 pm por el-brujo » En línea

Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.139


Ver Perfil
Re: [Ayuda] Ransomware desconocido? + varias capas de Compresión
« Respuesta #2 en: 30 Junio 2021, 04:17 am »

...y por qué descargas e instalas nada, sin antes pasarlo por antivirus???.
Todo lo que descargues por la red, deberías pasarlo primero por (por ejemplo): virustotal... puede que algún antivirus no lo reconozca, pero será raro que escape a todos, además si hay extensiones cambiadas (de ejecutables) y multiples capas de compresión, será detectado casi que fijo...

Ante las dudas, al menos primeramente instálalo en un sandbox...

...parecieras novato. Ahora dime que no tienes copia de seguridad y...
...creo que te tocará llorar, porque nadie se para a perder horas y horas de trabajo para nada que no sea propio y de un alto valor económico.
En línea

EdePC
Moderador Global
***
Desconectado Desconectado

Mensajes: 1.882



Ver Perfil
Re: [Ayuda] Ransomware desconocido? + varias capas de Compresión
« Respuesta #3 en: 30 Junio 2021, 12:47 pm »

Se trata de una recopilación de varios malware:



https://www.welivesecurity.com/la-es/2021/04/28/agent-tesla-principales-caracteristicas-este-malware/

https://howtoremove.guide/es/neer-virus-archivo/

Luego puedes ir a https://id-ransomware.malwarehunterteam.com/index.php para "denunciar" al ransomware y ver si han encontrado la manera de recuperar los archivos cifrados, esto se va actualizando en el tiempo
En línea

**Aincrad**


Desconectado Desconectado

Mensajes: 598



Ver Perfil WWW
Re: [Ayuda] Ransomware desconocido? + varias capas de Compresión
« Respuesta #4 en: 30 Junio 2021, 18:23 pm »

...y por qué descargas e instalas nada, sin antes pasarlo por antivirus???.
Todo lo que descargues por la red, deberías pasarlo primero por (por ejemplo): virustotal... puede que algún antivirus no lo reconozca, pero será raro que escape a todos, además si hay extensiones cambiadas (de ejecutables) y multiples capas de compresión, será detectado casi que fijo...

Ante las dudas, al menos primeramente instálalo en un sandbox...

...parecieras novato. Ahora dime que no tienes copia de seguridad y...
...creo que te tocará llorar, porque nadie se para a perder horas y horas de trabajo para nada que no sea propio y de un alto valor económico.

Bueno formatee, y restaure mis archivos, si tenia copia de seguridad, y lo mas importante serian mis proyectos, los cuales siempre respaldo... (o Al menos lo hago desde la ultima vez que c murio mi disco duro y lo perdí todo)

Mi intención de compartirlo es , obviamente , cualquiera que quiera analizarlo.

Por eso mismo esta sección se llama "Análisis y Diseño de Malware" , a no se que me haya equinado de sección, el cual no es el caso.

En pocas palabras al que le Interese...



https://www.welivesecurity.com/la-es/2021/04/28/agent-tesla-principales-caracteristicas-este-malware/

https://howtoremove.guide/es/neer-virus-archivo/

Luego puedes ir a https://id-ransomware.malwarehunterteam.com/index.php para "denunciar" al ransomware y ver si han encontrado la manera de recuperar los archivos cifrados, esto se va actualizando en el tiempo

Esto es justo lo que necesitaba , muchas gracias !


En línea



el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.111


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: [Ayuda] Ransomware desconocido? + varias capas de Compresión
« Respuesta #5 en: 1 Julio 2021, 23:15 pm »

Estoy de acuerdo con EdePC , https://id-ransomware.malwarehunterteam.com/ es el mejor servicio para detectar fácilmente el grupo de ransomware sin complicarse, basta con subir la nota de rescate y reconocen más de 1,000 tipos diferentes.

Buscando simplemente por e-mail de la nota de rescate podrás encontrar muchas veces la variante:
manager@mailtemp.ch

En este caso es  STOP(Djvu)

STOP (Djvu) ransomware se transmite casi exclusivamente a través de generadores de claves (Keygens) y cracks

.naar pues debe ser una variante de Neer Ransomware

Puedes descargar un descifrador gratuito que funciona con muchas variantes (pero no con todas):

https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu

Si te gusta analizar malware y demás, la gente de vx-underground sube continuamente muestras nuevas de ransomware

Han subido recientemente una versión del ransomware Babuk Locker
BabukBuilder.2021.zip

Disponible en:
https://vxug.fakedoma.in/tmp/

Citar
por alguna razón el Windows Defender no detecto nada. bueno tampoco esperaba que detectara algo .

Windows Defender no detecta la mayoría de ransomware xD

Pero en este caso Windows Defender si lo reconoce como:

Trojan:Win32/Azorult!ml y wacatac.b ml

Lo puedes subir también a VirusTotal

https://www.virustotal.com/gui/file/c39bd25468930f858dec6915956b07107d042355e5d81e2307a8f081f0ecbda5/detection
« Última modificación: 1 Julio 2021, 23:42 pm por el-brujo » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[MOD] Ayuda con capas en photoshop
Diseño Gráfico
Thauruialien 4 2,179 Último mensaje 11 Mayo 2004, 21:36 pm
por .chris
[MOD] Compresion de video y audio, cual es la mejor compresion?
Multimedia
robinsv 4 3,946 Último mensaje 29 Diciembre 2005, 21:01 pm
por Songoku
Tutorial - Unir varias capas sin perder las originales
Diseño Gráfico
Sub_Cero 5 15,123 Último mensaje 3 Junio 2008, 23:37 pm
por Azielito
Ayuda con capas
Diseño Gráfico
.:Swik:. 4 3,239 Último mensaje 22 Mayo 2010, 12:06 pm
por Sub_Cero
[ayuda]Archivo desconocido (ver codigo)
Programación General
colcrt 2 1,378 Último mensaje 6 Septiembre 2015, 18:22 pm
por Eleкtro
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines