Autor Tema: Analizando GandCrab  (Leído 465 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 899
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Analizando GandCrab
« el: 01 Abril de 2018, 10:34 am »

Este ransomware se llama GandCrab y es interesante porque no pide Bitcoin para desencriptar si no que pide Dash, moneda que yo por lo menos desconocía hasta ahora.

Para desmentir el famoso "yo se lo que hago no necesito antivirus" GandCrab se propaga mediante malvertising, es decir, publicidad maliciosa que a veces hasta se infiltra en Google Ads. Una vez descargado el payload malicioso, se infiltra en el sistema mediante vulnerabilidades en el software desactualizado. Una vez activo, el malware comienza a generar conexiones con el servidor de su creador para descargar los archivos necesarios para la encriptacion. En caso de no poder conectarse o no encontrar conexión a Internet los archivos no se verán afectados, aunque seguirá buscando conexión hasta encontrarla.

Para comenzar la encriptacion, GandCrab primero finaliza varios procesos activos, entre ellos msftesql.exe y sqlagent.exe. Encripta todos los archivos renombrandolos .GDCB. En determinado proceso de encriptacion, este ransomware pide permisos de administrador que deben ser EXPLÍCITAMENTE aceptados por el usuario. En caso de no ser respondido o denegarlo, seguirá mostrando la ventana hasta que se le conceda.

El monto a pagar equivale a unos 1200 USD (Unos 24mil pesos argentinos aproximadamente). Nuevamente las maneras más eficientes de evitar este tipo de ransomware son:

Posibles adicionales a un antivirus:
  • Anti ejecutable como VoodooShield, bloquearia la ejecución del payload descargado del anuncio y el script de encriptacion
  • Firewall bidireccional bloquearia la conexión al servidor infectado
  • No estar conectado en red a otros equipos que podrías infectar o podrían infectarte a vos
  • Protección en el navegador: uBlock Origin, ScriptSafe, NoCoin

Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.