Ransomware, el virus que cifra tus Archivos !!!!

[ELITE]

Un grupo de investigadorees de seguridad de Brasil, llamado Morphus Labs, acaba de descubrir un nuevo ransomware de cifrado de disco completo (FDE - Full Disk Encryption)  esta misma semana, llamado Mamba. Mamba, como lo llamaron, utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Esto puede ser sólo el comienzo de una nueva era para los Ransomwares.

"Mamba", es una serpiente con un veneno paralizante. Igual que para las víctimas de este nuevo ransomware. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin eso, el sistema  no arranca.

El Mamba ransomware utiliza cifrado a nivel del disco duro
El ransomware Mamba se ha identificado el 7 de septiembre durante un procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño que los ataques basadosen archivos individuales. Los desarrolladores criminales han utilizado el DiskCryptor para cifrar la información., una herramienta de código abierto

Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin embargo, Petya cifra sólo las tablas maestra de archivos (MFT) con lo que no afectan a los datos en sí.

Tras la exitosa infiltración, Mamba crea su carpeta titulada DC22 en la unidad C del equipo donde coloca sus archivos binarios. Un servicio del sistema se crea y alberga el proceso del ransomware. Un nuevo usuario llamado MythBusters se crea asociado con la contraseña 123456.

También sobrescribe el registro de inicio maestro (MBR) del disco del sistema que contiene el gestor de arranque para el sistema operativo. Esto prohíbe efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el código de descifrado.



El mensaje de rescate pide a los usuarios a pagar la suma de 1 BTC por máquina infectada a los atacantes. Los investigadores han observado los operadores maliciosos han mencionado servidores en el texto. Esto probablemente significa que Mamba se puede utilizar para atacar a las granjas de servidores y otros equipos de la red importantes.

You are Hacked ! H.D.D Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOURID: 123152”. This message is all that remains for the victims of this new Ransomware. To get the decryption key, it’s necessary to contact somebody through the informed e-mail address, give the ID and pay 1 BTC per infected host.

Mamba se distribuye a través de paquetes de exploits, archivos DLL infectadas, código Javascript malicioso o descargas. Es muy probable que el sistema de cifrado utilizado es la criptografía AES-512, que es imposible de descifrar. Diversos troyanos también pueden llevar la carga útil Mamba como parte de un ataque eficiente, agresiva contra objetivos de alto perfil.

En el momento actual, no hay ninguna utilidad de descifrado que puede restaurar las unidades infectadas Mamba.

http://bestsecuritysearch.com/mamba-ransomware-discovered/
https://www.linkedin.com/pulse/mamba-new-full-disk-encryption-ransomware-family-member-marinho?trk=prof-post

PD: Hace menos de un mes tuvimos en la empresa un ataque de estos (del RW normal, no este mamba) y se perdió la PC del contador y como 5 PC's mas fueron infectadas 

[ernestoelunico]

donde rayos navegan para infectarse de esto, porque ni uno que anda por todo internet vagando se topa con algo asi

[ELITE]

donde rayos navegan para infectarse de esto, porque ni uno que anda por todo internet vagando se topa con algo asi

Diablos !!!! no men, la infección es super maníaca 

Les contare lo que nos paso:
Un correo le callo al contador, venia de un Felipe.algo@nuestrodominio.com ojo a eso, secuestraron el dominio, el usuario felipe no existe y nunca existio en los correos de la empresa pero el correo venia de felipe@ y nuestro dominio, nuestro dominio privado empresarial. El correo traía un "estado de cuenta" de la empresa 

El contador al ver que el usuario era de nuestro dominio y que era un estado de cuenta abrió el adjunto, juela  su pc se encripto carpeta por carpeta y se perdió todo, luego el maldito virus se paso por la red (es la única explicación lógica, aunque se supone que no se transmite por red ya que es solo código JS para encriptar  la data) e infecto a 5 PC's mas, entre ellas la mia  ojo, infecto PC's incluso sin cliente de correo electronico, por eso lo de que se paso por red.

En mi caso me comio 1237 archivos, principalmente codigo php que yo tengo ya subversionado  en mi caso todo lo que se infecto no tuvo nada de preocupacion, pero a dos usuarios se les cambio HDD porque el virus, aun despues de formatearlo queda, segun paginas de análisis de virus, incluso los de Kasperke Lab, que son los del AV que tenemos nos recomendaron eso. ellos vinieron a ver el problema con los representantes de KAV de ES.

Por cada carpeta te deja una notificación para desencriptar los archivos, por cada carpeta pedia $2,000.00


En fin, este virus no solo es por meterse a paginas raras, cualquier descuido aun de un informático puede causar serias consecuencias. Me preocupa que este nuevo mamba, busca los serves, afortunadamente ningun server fue infectado de los que tenemos 

[HealH]

según lo que contas mas parece que alguien con acceso a crear una cuenta de correo dentro de la empresa se lo mando adrede al contador

[ELITE]

según lo que contas mas parece que alguien con acceso a crear una cuenta de correo dentro de la empresa se lo mando adrede al contador

Alguien ?? alguien como La jefa o como yo que solo nosotros tenemos los accesos al servidor de correos de godday??

No men, nada de eso. Nada de registros de ese correo en goddady

[therude92]

En mi caso me comio 1237 archivos, principalmente codigo php que yo tengo ya subversionado 

me llama la atencion esta parte, como hiciste para que no siguiera "comiendo" mas archivos? simplemente apagaste la compu? como te diste cuenta que fue esa cantidad y que lo estaba haciendo? 

[salvadoresc]

no te secuestraron nada, cualquier script de envio de correo puede poner en el header que ha sido "enviado por" la cuenta de correo no tiene que existir necesariamente para que llegue de esa forma...

yo he escuchado muchos casos de infeccion con este tipo de herramientas, procuren tener backups de sus datos importantes para evitar pasar malos ratos

[snake of persia]

pero a dos usuarios se les cambio HDD porque el virus, aun despues de formatearlo queda, segun paginas de análisis de virus, incluso los de Kasperke Lab, que son los del AV que tenemos nos recomendaron eso. ellos vinieron a ver el problema con los representantes de KAV de ES.

Curioso y aun haciendo un formato a bajo nivel te quedara rastro en el disco?

[javierarenas]

Curioso y aun haciendo un formato a bajo nivel te quedara rastro en el disco?

Un borrado total del disco como el descrito, deberia eliminar cualquier rastro de informacion. El virus se aloja en el sector maestro de arranque con una carpeta oculta, por lo que un formatero normal no es suficiente.

https://wiki.archlinux.org/index.php/Securely_wipe_disk

[ELITE]

me llama la atencion esta parte, como hiciste para que no siguiera "comiendo" mas archivos? simplemente apagaste la compu? como te diste cuenta que fue esa cantidad y que lo estaba haciendo? 

Nadie pudo hacer nada 

La infección fue de 08.22am a 08.39am, el virus capturo de cada PC lo que quiso, excepto la del contador, esa hasta el fondo de pantalla le cambio lol, esa murió por completo

no te secuestraron nada, cualquier script de envio de correo puede poner en el header que ha sido "enviado por" la cuenta de correo no tiene que existir necesariamente para que llegue de esa forma...

yo he escuchado muchos casos de infeccion con este tipo de herramientas, procuren tener backups de sus datos importantes para evitar pasar malos ratos

Bien, gracias, voy a investigar de este tema 

Curioso y aun haciendo un formato a bajo nivel te quedara rastro en el disco?

Un borrado total del disco como el descrito, deberia eliminar cualquier rastro de informacion. El virus se aloja en el sector maestro de arranque con una carpeta oculta, por lo que un formatero normal no es suficiente.

https://wiki.archlinux.org/index.php/Securely_wipe_disk

Repito, fue la gente de KAV la que nos recomendo eso, y por cualquier cosa se reemplazaron los HDD 

Ahora imaginen este mamba que todo el HDD te encripta 

[Charlie]

Repito, fue la gente de KAV la que nos recomendo eso, y por cualquier cosa se reemplazaron los HDD 

Ahora imaginen este mamba que todo el HDD te encripta 

No es que quede despues de formateado, lo que pasa es que seguro alguno de los archivos de trabajo que tenían como backup seguía infectado y contagiaba de nuevo las PCs, te lo digo porque yo he eliminado ramsonware sin formatear, eso si los archivos encriptados hay que darlos por perdidos.

Como se a contagiado? en los casos que yo he visto a sido por antivirus que no estan al dia, sistemas operativos pocos seguros (windows XP) y pendejez del usuario que abre cualquier archivo adjunto.

[brother]

Viendo que mencionan a KAV algun contacto para una cotizacion  ?

[allandj]

Reviviendo el tema...
Alguien mas ha tenido experiencias con ransomware?
En la empresa se nos han infectado 3 PC's, y según lo que hemos podido recabar fué Cerber Ransomware, tuvimos que ver qué archivos eran los que no estaban encriptados y recuperar unos cuantos y luego formatear la PC por cualquier rastro...pero imagino debe haber alguna manera de poder desencriptar y desinfectarse de este ransomware.
Las infecciones se dieron porque se recibió correo electrónico de alguien conocido y que mandaba a descargar un reporte, al descargarlo, comenzó la infección y aparecieron otras 2 PC's infectadas, esos 2 equipos se infectaron sin acción del usuario, no descargaron nada...

[ELITE]

No, no van a recuperar nada.


Algunos expertos aseguran que aun después de formateado el HDD, quedan rastros del RW asi que mejor aconsejan desechar el HDD, en la empresa eso hicimos

[salvadoresc]

no creo eso de que queden rastros... pero no he tenido experiencias con esos virus de momento.