Autor Tema: Dharma Ransomware: un rápido análisis de malware  (Leído 427 veces)

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado Morvax

  • [L0] Ladrón de espacio en la BD
  • Mensajes: 5
  • Sexo: Masculino
  • 00
  • Malware Analyst | CyberActivista por la privacidad
    • Ver Perfil
Dharma Ransomware: un rápido análisis de malware
« el: 27 Abril de 2018, 11:03 am »

Les comparto algo de malware analysis de una pieza interesante que se estuvo actualizando estos dias: Dharma Ransomware

Lo primero que hace este malware es:

  • eliminar las shadow copies (las copias que Windows hace sobre los archivos para recuperarlos en caso de corrupción).
  • Acto seguido Dharma hace un rápido escaneo del sistema en busca de algunos procesos y servicios conocidos como outlook.exe y mssql.exe. Si los encuentra los finaliza inmediatamente.
  • Como proceso de expansión escanea la red local en busca de otros dispositivos conectados y analiza conexiones RDP activas.
  • Tiene modalidad de comportamiento persistente, es decir, de no ser otorgado privilegios de administrador, seguira insistiendo con la clásica ventana de UAC hasta que se le otorgue.
  • No necesita conexión a internet para infectar un sistema.
  • Una vez activo detectará si se está ejecutando en una máquina virtual y chequeará isdebuggerpresent y getsystem tick count api, etc.


Algo interesante, desencripta 5 archivos de forma gratuita. Requisito: que sean menores a 10mb.

Se distribuye por correo electrónico, gracias a nuestros sujetos:

faremar@cock.li
decrypthelp@qq.com
habibi.habibi3@aol.com
black.mirror@qq.com
chivas@aolonline.top


Y encripta las siguientes extensiones:

Cita
"PNG PSD .PspImage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .xlr .XLS .XLSX Accdb .DB DBF MDB .PDB .SQL APK .APP .BAT .CGI .COM .EXE .gadget .JAR .PIF .wsf .DEM .gam .NES .ROM .SAV CAD DWG DXF SIG archivos .kml .GPX .KMZ .ASP .ASPX .CER .CFM .CSR .CSS HTM .HTML .JS .JSP .PHP .RSs .xhtml. DOC DOCX .LOG .MSG .ODT .páginas RTF .tex .TXT .WPD .WPS .CSV .DAT .GED .KEY .keychain .PPS .PPT .PPTX ..INI .PRF archivos codificados .HQX .mim .uue .7z .cbr .DEB .GZ .PKG RAR .RPM .SITX .TAR.GZ .ZIP .zipx BIN CUE .DMG .ISO .MDF dress.Toast .vcd SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio archivos archivos .AIF .IFF .M3U .M4A .MID .MP3 .mpa WAV WMA vídeo .3G2 .3GP .ASF .AVI FLV MOV MP4 .M4V .MPG .RM SRT .SWF VOB WMV 3D 3DM .3DS .MAX OBJ R.BMP .dds .GIF .JPG ..CRX .plugin .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .dmp .DRV .icns ICO LNK .SYS .CFG "


Como la gran mayoría de los ransomware, programas que podrían haber prevenido esta infección:

-OSArmor, complemento que habría protegido las shadow copies y habría prevenido la ejecución de wscript.exe y otros procesos relacionados al ransomware si hubiesen sido lanzado poe WINWORD.EXE
-VoodooShield hubiera bloqueado la ejecución del payload desde AppData (anti ejecutable)

En este caso, un firewall no hubiera hecho diferencia debido a la no necesidad de Dharma de conectarse a la red para funcionar.

Un saludo y permanezcan seguros.
No hay mejor arma contra las cyberamenazas que el conocimiento. Pero por las dudas hace un backup.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 899
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Re:Dharma Ransomware: un rápido análisis de malware
« Respuesta #1 el: 01 Mayo de 2018, 08:29 pm »
Justo miraba sin estar logeado y realmente es interesante se puede llegar a lograr, ademas algunas ideas interesantes dan para poder explotar. Excelente aporte @Morvax y estare atento a por mas!


Saludos Familia!