miércoles, 25 de enero de 2017

CERBER #Ransomware II: Continúan los ataques con documentos word con Macros.




Al igual que en otros casos llega por correo spam con un zip con un documento .doc



El documento tiene macros y apela a que la victima active le ejecución, cosa que muchos hacen.



Lo curioso es que los macros funcionan en entornos de 64bits.


Aquí modifique la función para que me funcionara en mi entorno de pruebas de 32bits.



 Trafico de descarga del malware por la macro.






Luego de la infección los archivos son encriptados y se les cambia la extension por una random.




Verificamos en el sitio id-ransomware a que familia pertenece.



Aquí realizamos un dump de la muestra y en la dirección de memoria 00AB000 encontramos parte de la configuración del ransomware.




Strings

91.239.24.0/23
11.56.22.0/27
17.35.12.0/27
01ENV9LRVl9e1BBUlRORVJfSUR9e09TfXtJU19YNjR9e0lTX0FETUlOfXtDT1VOVF9GSUxFU317U1RPUF9SRUFTT059e1NUQVRVU30=
rsa_key_size
%s\%s.tmp
folders
Your documents, photos, databases and other important files have been encrypted!
CERBER_CORE_PROTECTION_MUTEX
Attention! Attention! Attention!
\steam\
\microsoft\microsoft sql server\
\microsoft\office\
\microsoft\onenote\
\microsoft\outlook\
\office\
\microsoft\word\
\onenote\
\outlook\
\thunderbird\
\powerpoint\
\the bat!\
bitcoin\
\excel\
\microsoft sql server\
\microsoft\powerpoint\
\microsoft\excel\
MachineGuid
SOFTWARE\Microsoft\Cryptography



CERBER RANSOMWARE

  YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES  
  HAVE BEEN ENCRYPTED!  

  The only way to decrypt your files is to receive  
  the private key and decryption program.  

  To receive the private key and decryption program  
  go to any decrypted folder - inside there is the special file (*HELP_HELP_HELP*)  
  with complete instructions how to decrypt your files.  

  If you cannot find any (*HELP_HELP_HELP*) file at your PC,  
  follow the instructions below:  

  1. Download "Tor Browser" from https://www.torproject.org/ and install it.  
  2. In the "Tor Browser" open your personal page here:  

  http://{TOR}.onion/{PC_ID}  

  Note! This page is available via "Tor Browser" only.  



Verifique esta muestra con McAfee Interceptor y bloqueo a esta amenaza.




Sample : https://dl.dropboxusercontent.com/u/80008916/cerber_23_01_17.rar




Es todo por el momento @Dkavalanche 2017



 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!