miércoles, 4 de mayo de 2016

Campaña de Ransomware: Locky - Parte III

Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macros.







El Indice de detecciones del documento es muy baja.



Al habilitar las macros en el docm, se produce la descarga e infección de la computadora.




Desempaquetado de la capa de ofuscación (crypter del binario)

https://virustotal.com/es/file/ed8390885a6bcdda11cb51f8d3c2553625d1c567f221a490450f44d2ac3cec3a/analysis/

BP en IsDebuggerPresent /ResumeThread/WriteProcessMemory y luego dumpear con Pe-TOOL




Locky...




Exenciones de archivo que busca para cifrar.



Probando el binario en forma dinámica.

Conexión con el C&C, eh visto que si no hay conexión a Internet o no puede encontrar vía dns los sitios de C&C, Locky no comienza con el proceso de cifrado de la PC.




El infame cartel de que nuestros datos fueron cifrados.







Muestras: https://www.dropbox.com/s/105s5umnmpm8cj8/Locky-03-05-16.zip?dl=0


Eso es todo por el momento @Dkavalanche 2016


Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...