«Los investigadores han descifrado el cripto-ransomware MarsJoke, dando a las víctimas una forma de descifrar sus archivos»
http://www.infosecurity-magazine.com/news/researchers-crack-marsjoke-crypto/
Traducción Google:
Anton Ivanov, Orkhan Mamedov, y Fedor Sinitsyn del equipo anti-rescate de Kaspersky Lab explicaron que el troyano, que también se conoce como Políglota, se ve como una imitación del ransomware clásico CTB-Locker, hasta la forma en que cambia fondo de escritorio de las víctimas , el hecho de que permite a las víctimas descifrar cinco archivos gratis, y en sus instrucciones idénticas a las víctimas.
Sin embargo, los dos comparten casi ningún código, y de hecho son completamente diferentes malwares. Los investigadores sospechan que el mimetismo se hizo para tirar fuera investigadores y disuadirlos de mirar debajo del capó.
«Tal vez los creadores de Polyglot querían desorientar a las víctimas e investigadores, y ha creado una copia de carbono cerca de CTB-Locker desde cero para que se vea como un ataque al CTB-Locker y que no había ninguna esperanza de conseguir los archivos descifrados de forma gratuita» Según los investigadores, en un blog .
El problema es, ¿qué hay debajo del capó está profundamente viciado. El principal problema es que el creador ha cometido un error con el generador de claves.
Todas las llaves creadas se basan en una matriz generada de forma aleatoria de caracteres. Por lo tanto, la fuerza de las teclas está determinada por la fuerza del generador. El generador es débil en este caso: una búsqueda exhaustiva de todo el conjunto de las posibles claves producidas por un generador de números pseudo-aleatorio tales sólo demora unos minutos en un PC estándar.
«Aprovechando este error, hemos sido capaces de calcular la clave AES para un archivo cifrado», explicaron los investigadores.
Kaspersky ha hecho un descifrador libredisponible, pero advirtió que los autores MarsJoke podrían modificar el malware en cualquier momento para fortalecerlo.
El 22 de septiembre, Proofpoint detecta unacampaña de correo electrónico difusión MarsJoke, que utiliza una variedad de líneas de asunto referencia a una compañía aérea nacional importante y de rastreo de paquetes (añadiendo un aire de legitimidad a los señuelos con la marca robada). Los mensajes de correo electrónico contienen direcciones URL que vinculan a un archivo ejecutable llamado «file_6.exe» alojado en varios sitios con dominios registrados recientemente. En general, es una desviación de las campañas de documentos adjuntos mucho más frecuentes.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
