Ransom32: ¿Cómo funciona?

4

Ransom32 parece ser un nuevo ransomware escrito (en parte) en JavaScript. Según tengo entendido, no afecta a un usuario a través de un navegador / visitando un sitio web, sino descargando un archivo .rar que contiene el JavaScript dañino y los medios para ejecutarlo.

Pero, ¿qué es exactamente lo que explota Ransom32? ¿Una vulnerabilidad en WinRAR o en Windows? ¿O se basa en el comportamiento incorrecto del usuario?

La mejor descripción que pude encontrar:

  

El malware utiliza el lenguaje de script implementado en WinRAR para descomprimir automáticamente el contenido del archivo en el directorio de archivos temporales del usuario y ejecutar el archivo "chrome.exe" contenido en el archivo.
  [...]
  Una vez que Ransom32 llega a un sistema y se ejecuta [¿por quién? ¿el .rar en sí?], primero descomprimirá todos sus archivos en la carpeta de archivos temporales. Desde allí, se copia en el directorio "% AppData% \ Chrome Browser". Utiliza el archivo "s.exe" incluido para crear un acceso directo en la carpeta de inicio del usuario llamada "ChromeService" que asegurará que el malware se esté ejecutando en cada inicio.
source

Entonces, a mí me parece que un ataque funciona así:

  1. El usuario descarga un archivo .rar
  2. El usuario abre el archivo (¿o se abre solo?)
  3. El archivo .rar decide por sí mismo dónde extraerlo
  4. El archivo .rar ejecuta un archivo .exe (¿o debe ejecutarlo el usuario?)
  5. El archivo ejecutado se copiará / vinculará a una ubicación específica, de modo que se inicie en cada inicio

¿Es este un resumen correcto?

Si lo es, me parece que los pasos 3. a 5. realmente no deberían estar ocurriendo [*]. ¿Ransom32 explota alguna vulnerabilidad conocida en Windows o WinRAR? ¿O es este comportamiento deseado, y no entendí bien cómo el ransomware afecta al sistema?

[*] No estoy familiarizado con la seguridad de Windows, pero no parece una buena idea dejar que un archivo .rar decida por sí mismo a dónde quiere que se extraiga, o dejar que un archivo .rar ejecute .exe archivos.

    
pregunta tim 20.06.2016 - 19:37
fuente

2 respuestas

3

No, no hay vulnerabilidades de software, solo una explotación clásica de usuarios tontos.

La carga útil se distribuye en un archivo RAR autoextraíble. Un archivo RAR autoextraíble es en realidad solo un extractor ejecutable con el archivo .rar adjunto al archivo. Dicho archivo es un archivo ejecutable con la extensión .exe y tiene una función para ejecutar código arbitrario después de la extracción.

Los pasos son más como esto:

  1. El usuario descarga un archivo .exe
  2. El usuario ejecuta el archivo .exe (¡Error!)
  3. El archivo .exe se extrae del perfil de Google Chrome de los usuarios para ocultarlo
  4. El archivo .exe ejecuta algún código para hacer que el malware extraído se ejecute y se ejecute en el arranque

Realmente no hay nada original en esto.

Esta publicación se basa en la información del siguiente artículo:

enlace

    
respondido por el Alexander O'Mara 20.06.2016 - 19:56
fuente
1

Bueno, en realidad, Ransom32 no es un archivo .exe, es un .scr (que es básicamente lo mismo) y no usa el código WinRAR sino el código NSIS en la última versión que he encontrado en la web. .

Podemos descomprimir fácilmente el archivo scr para ver cosas interesantes:

Primero, el archivo de script NSIS iniciará un instalador .NET 4.0 si no se encuentra en el sistema

Luego, extraerá el archivo "client.exe" dentro del archivo .scr en la carpeta% TEMP% y lo ejecutará. Este archivo creará una carpeta en% AppData%. Para cada archivo Ransom32 generado, el nombre de la carpeta (y en realidad el nombre del talón que es el mismo que el nombre de la carpeta) cambiará.

El apéndice se conecta a un servidor, pero no puedo identificarlo, debido al uso de la red Tor y al "Meek"

Espero haber respondido a tu pregunta y, discúlpeme por cualquier error de idioma, por favor :)

    
respondido por el Pierre G. 26.06.2016 - 21:46
fuente

Lea otras preguntas en las etiquetas