Serpiente ransomware fue descubierto por MalwareHunterTeam la semana pasada que la compartió con Vitali Kremez a técnicas de ingeniería inversa y aprender más acerca de la infección.
Un nuevo ransomware fue descubierto recientemente por investigadores MalwareHunterTeam. Apodado ransomware serpiente, la amenaza se ingeniería inversa por Vitali Kremez. Gracias a él, Ahora más detalles disponibles sobre Snake, que se considera un tipo específico de ransomware desplegado en contra de las organizaciones y empresas.
Resumen de amenazas
| Nombre | ransomware serpiente |
| Extensión de archivo | Una cadena de 5 caracteres a la extensión de cada archivo. |
| Escribe | El ransomware, Cryptovirus |
| Qué es | Un ransomware que se dirige específicamente a las redes de organizaciones. |
| Los síntomas | archivos específicos se cifran. En cada archivo cifrado, Se añadirá el marcador archivo Ekans. |
| Nota de rescate | Fix-Tu-files.txt |
| Método de distribución | Actualmente no se conoce |
| Eliminación | Para eliminar eficazmente activo ransomware serpiente infecciones por el virus, recomendamos que utilice una herramienta anti-malware avanzado. Descargar
Herramienta de eliminación de software malintencionado
|
Experiencia de usuario | Unirse a nuestro foro para hablar sobre la serpiente ransomware. |
| Herramienta de recuperación de datos | Ventanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad. |
Nueva información sobre el ransomware serpiente llegó a estar disponible este mes. De acuerdo con un nuevo análisis de la muestra que fue publicada este mes (Enero 2020) Una información más detallada acerca de los objetivos y el comportamiento exhibido por el motor. Las últimas versiones del ransomware están muy ofuscado y parecen estar específicamente diseñado para acabar con redes completas en lugar de equipos individuales. Los archivos que son detectados como serpiente ransomware muestras parecen estar configurado en contra sistemas industriales.
El virus de la serpiente ahora incluye varias funciones avanzadas que se activará una vez al huésped se infecta. Entre ellas se encuentran las siguientes capacidades:
- Eliminación de datos - El ransomware serpiente se ha encontrado para eliminar cualquier encontró las instantáneas de volumen de los archivos encontrados en el equipo contaminado. Esto hará que la recuperación de datos mucho más difícil y puede dificultar algunas operaciones de restauración.
- Control de procesos - El motor de virus de la serpiente será capaz de explorar en busca de procesos de software que puede bloquear el funcionamiento ransomware - máquinas virtuales, sistemas de acceso, herramientas de control remoto, administración de redes, el software anti-virus y etc..
- Sabotaje - sistemas SCADA importantes y otro software de control industrial se detendrá la ejecución de. Cuando este paso se ha ejecutado en un entorno de producción de trabajo que esto puede causar un problema global importante en la fábrica que puede ser etiquetado como sabotaje industrial.
- control de cifrado - Durante el proceso de cifrado ransomware los analistas han descubierto que el motor va a omitir los archivos que pertenecen al sistema operativo. Esto es intencional con el fin de no dañar los sistemas que ejecutan. Esto asegura que el daño apropiado se hace y que los usuarios de las víctimas serán aable para revisar el mensaje publicado en rescate.
La investigación adicional en el grupo de hackers detrás del ransomware serpiente revela que los delincuentes pueden estar detrás de otros ataques peligrosos, así. De particular interés es la posibilidad de que han lanzado un ataque con un disco limpiador llamada ZeroCleare en el pasado. Esta fue una operación planificada altamente sofisticado y devastador contra las organizaciones industriales y de energía en la región de Oriente Medio.
Más información sobre la amenaza llegó a estar disponible en Enero 13 cuando se publicó otro informe detallado acerca de la serpiente ransomware. El aspecto peligroso de esta amenaza en particular es que los archivos víctima serán cifrados con un sistema de cifrado de entrada al azar - esto significa que los datos no serán tratados con un único algoritmo. La forma de hacer esto es que el motor principal registrará los nombres de los archivos originales y los directorios que se utilizan como parámetros. Una cadena especial se incluye también - cifrado de clave pública es utilizada por el ransomware serpiente.
Los marcadores se añaden a los archivos como extensiones - juegos al azar de combinaciones de caracteres se colocan como las extensiones de archivo. La nota de rescate generada por la versión actual del virus se llama *Fix-Tu-files.txt que comienza con la línea de ¿Qué pasó con sus archivos?.
serpiente ransomware – Análisis técnico
El análisis de Kremez indica que el ransomware está escrito en el lenguaje Golang, y que es muy ofuscado.
El nivel de ofuscación rutina es mucho mayor que lo que normalmente se ve en ransomware desplegado en ataques dirigidos.
Cuando se inicia la infección ransomware serpiente, Instantáneas de volumen se eliminan del sistema.
Entonces, diversos procesos relacionados con sistemas SCADA, maquinas virtuales, sistemas de control industrial, herramientas de administración remota y herramientas de gestión de red serán asesinados.
Después de estas dos etapas se han completado, el ransomware continuará con el cifrado de datos, pero va a omitir los archivos ubicados en las carpetas del sistema de Windows y algunos archivos del sistema, tal como:
windir
UnidadSistema
:\$Papelera de reciclaje
:\Datos de programa
:\Users Todos los usuarios
:\Archivos de programa
:\Configuraciones locales
:\Bota
:\Información del Volumen del Sistema
:\Recuperación
\Datos de aplicación
Tras el cifrado, el ransomware Snake añadir una cadena de 5 caracteres a la extensión de cada archivo. Como resultado, file.doc un archivo llamado parecerá esto después del cifrado - file.docknfgT (creo que es un ejemplo al azar).
En cada archivo cifrado, Se añadirá el marcador archivo Ekans. Es curioso notar que Ekans se SERPIENTE escrito a la inversa.
Los investigadores dicen que el ransomware lleva más tiempo de lo habitual para cifrar los datos específicos. Sin embargo, ya que esta es una amenaza específica que se ejecuta cada vez que el atacante decide, el tiempo seguramente no será un gran problema.
Una vez que el proceso de cifrado está finalizado, Serpiente creará una nota de rescate en C:\Usuarios Público Desktop, y se llamará Fix-Tu-files.txt. La nota de rescate típicamente contiene instrucciones a los delincuentes de contacto para las instrucciones de pago. El correo electrónico proporcionado para el contacto es bapcocrypt@ctemplar.com pero el correo electrónico puede cambiar en futuras versiones del ransomware.
Esto es lo que la nota de rescate parece:
Esto es lo que dice la nota (partes de él):
¿Qué pasó con sus archivos?
Rompíamos su red corporativa y se cifran los datos en los equipos. Los datos cifrados incluye documentos, bases de datos, fotos y más -
Todos fueron cifrada con un algoritmos de cifrado de grado militar (AES-256 y RSA-2048). No se puede acceder a esos archivos en este momento. Pero no se preocupe!
Usted todavía puede obtener los archivos de nuevo y estar en funcionamiento de nuevo en ningún momento.
Cómo ponerse en contacto con nosotros para obtener los archivos de nuevo?
La única manera de restaurar sus archivos es mediante la compra de una herramienta de descifrado cargado con una clave privada que hemos creado específicamente para su red.
Retire la serpiente ransomware
En términos de descifrado de archivos, actualmente, no hay información de si los archivos cifrados por la serpiente ransomware se pueden descifrar sin los atacantes’ clave de descifrado. Por lo que se ve, cifrado del ransomware es inmejorable, aunque.
A pesar de que en el momento de la serpiente ransomware se dirige a organizaciones, campañas a gran escala contra los individuos también pueden ser lanzados. Si los síntomas de su infección ransomware se asemejan el comportamiento de la serpiente ransomware, puede probar a eliminar el ransomware mediante las siguientes instrucciones.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: