[Ayuda] Ransomware desconocido? + varias capas de Compresión

Iniciado por **Aincrad**, 29 Junio 2021, 02:33 AM

0 Miembros y 1 Visitante están viendo este tema.

**Aincrad**

Tipo: Ransomware
Lenguaje: C++
Autor : Desconocido





Hola, les cuento rápido.

Encontré este ransomware que cifra los archivos con extension .naar .

Tiene múltiples capas de compresión, y por alguna razón el Windows Defender no detecto nada. bueno tampoco esperaba que detectara algo .

Este es el executable Principal :

https://anonfiles.com/b2C3963bu7/setup_x86_x64_install_exe



Al extraerlo me deja otro instalador :



Al extraerlo por segunda y ultima vez :



Resulta que los supuestos .txt , son executables tambien :






Estos son los archivos Finales :

https://anonfiles.com/H9Ie9e33u3/setup_installer_rar

Muestra de Archivo Infectado :

https://anonfiles.com/t3Ma9138u0/Screenshot_5.png_neer

El mensaje que deja es este :






Hay alguien con conocimientos avanzados en reversing, o alguien que conozca la cura a esto?

gracias de antemano







Serapis

...y por qué descargas e instalas nada, sin antes pasarlo por antivirus???.
Todo lo que descargues por la red, deberías pasarlo primero por (por ejemplo): virustotal... puede que algún antivirus no lo reconozca, pero será raro que escape a todos, además si hay extensiones cambiadas (de ejecutables) y multiples capas de compresión, será detectado casi que fijo...

Ante las dudas, al menos primeramente instálalo en un sandbox...

...parecieras novato. Ahora dime que no tienes copia de seguridad y...
...creo que te tocará llorar, porque nadie se para a perder horas y horas de trabajo para nada que no sea propio y de un alto valor económico.

EdePC

Se trata de una recopilación de varios malware:



https://www.welivesecurity.com/la-es/2021/04/28/agent-tesla-principales-caracteristicas-este-malware/

https://howtoremove.guide/es/neer-virus-archivo/

Luego puedes ir a https://id-ransomware.malwarehunterteam.com/index.php para "denunciar" al ransomware y ver si han encontrado la manera de recuperar los archivos cifrados, esto se va actualizando en el tiempo

**Aincrad**

Cita de: Serapis en 30 Junio 2021, 04:17 AM
...y por qué descargas e instalas nada, sin antes pasarlo por antivirus???.
Todo lo que descargues por la red, deberías pasarlo primero por (por ejemplo): virustotal... puede que algún antivirus no lo reconozca, pero será raro que escape a todos, además si hay extensiones cambiadas (de ejecutables) y multiples capas de compresión, será detectado casi que fijo...

Ante las dudas, al menos primeramente instálalo en un sandbox...

...parecieras novato. Ahora dime que no tienes copia de seguridad y...
...creo que te tocará llorar, porque nadie se para a perder horas y horas de trabajo para nada que no sea propio y de un alto valor económico.

Bueno formatee, y restaure mis archivos, si tenia copia de seguridad, y lo mas importante serian mis proyectos, los cuales siempre respaldo... (o Al menos lo hago desde la ultima vez que c murio mi disco duro y lo perdí todo)

Mi intención de compartirlo es , obviamente , cualquiera que quiera analizarlo.

Por eso mismo esta sección se llama "Análisis y Diseño de Malware" , a no se que me haya equinado de sección, el cual no es el caso.

En pocas palabras al que le Interese...




Cita de: EdePC en 30 Junio 2021, 12:47 PM
https://www.welivesecurity.com/la-es/2021/04/28/agent-tesla-principales-caracteristicas-este-malware/

https://howtoremove.guide/es/neer-virus-archivo/

Luego puedes ir a https://id-ransomware.malwarehunterteam.com/index.php para "denunciar" al ransomware y ver si han encontrado la manera de recuperar los archivos cifrados, esto se va actualizando en el tiempo

Esto es justo lo que necesitaba , muchas gracias !






el-brujo

#5
Estoy de acuerdo con EdePC , https://id-ransomware.malwarehunterteam.com/ es el mejor servicio para detectar fácilmente el grupo de ransomware sin complicarse, basta con subir la nota de rescate y reconocen más de 1,000 tipos diferentes.

Buscando simplemente por e-mail de la nota de rescate podrás encontrar muchas veces la variante:
manager@mailtemp.ch

En este caso es  STOP(Djvu)

STOP (Djvu) ransomware se transmite casi exclusivamente a través de generadores de claves (Keygens) y cracks

.naar pues debe ser una variante de Neer Ransomware

Puedes descargar un descifrador gratuito que funciona con muchas variantes (pero no con todas):

https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu

Si te gusta analizar malware y demás, la gente de vx-underground sube continuamente muestras nuevas de ransomware

Han subido recientemente una versión del ransomware Babuk Locker
BabukBuilder.2021.zip

Disponible en:
https://vxug.fakedoma.in/tmp/

Citarpor alguna razón el Windows Defender no detecto nada. bueno tampoco esperaba que detectara algo .

Windows Defender no detecta la mayoría de ransomware xD

Pero en este caso Windows Defender si lo reconoce como:

Trojan:Win32/Azorult!ml y wacatac.b ml

Lo puedes subir también a VirusTotal

https://www.virustotal.com/gui/file/c39bd25468930f858dec6915956b07107d042355e5d81e2307a8f081f0ecbda5/detection