Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

15 dic. 2016

Contraseñas del ransomware Popcorn: "si el infectado infecta a otros, su liberación es gratis"

MalwareHunterTeam ha descubierto una nueva variante de ransomware bastante curiosa. En ElevenPaths han analizado las nuevas versiones mejoradas que cometen varios errores interesantes, entre ellos, el que permite conocer su contraseña de descifrado. Esta muestra llama la atención porque en teoría ofrece dos fórmulas para descifrar los ficheros: o bien pagando, o bien si el propio infectado consigue infectar a dos o más personas que paguen el rescate.
La funcionalidad básica es la de siempre: se cifran un buen montón de ficheros según su extensión, y se pide un rescate por ello de 1 bitcoin (por encima de la media que se suele exigir habitualmente).

Lo que hace nuevo este ransomware, es ofrecer dos vías para descifrar el contenido: La vía "normal" en la que se paga un rescate, y la vía "nasty" (así la denominan ellos mismos) en la que si se envía un enlace a un ejecutable a dos personas, se infectan y pagan, se te dará un código "gratis" para poder descifrar tu contenido.

Un "plan amigo" de difusión en la que el atacante se "asegura" dos infecciones por el precio de una, y un método de difusión más eficaz, puesto que las víctimas elegidas por el usuario infectado siempre estarán más predispuestas a ejecutar el enlace de un conocido. Otra cosa es que pague (supuesta condición para que se aplique el "descuento").

También destacar que el ransomware apela a la sensibilidad de la víctima, asegurando que el dinero irá para una buena causa: paliar los efectos de la guerra de Siria. Se ha llamado "popcorn" porque la primera versión utilizaba el dominio popcorn-time-free.net, pero ya no es así en las últimas versiones.

La contraseña

Si se desemsambla el código con ILSpy por ejemplo, se puede observar la línea que contiene la contraseña en Base64. Una rápida decodificación nos permitirá obtener la contraseña y los datos de vuelta. No hemos creado una herramienta específica para conseguirlo porque es más que probable que el atacante cambie rápidamente su estrategia y además, no parece un malware muy avanzado por ahora ni difundido (si alguien está infectado, que nos contacte, por favor). De hecho, el día anterior la contraseña de sus primeras versiones era siempre "123456"

Como se ha mencionado, la contraseña se supone (junto con el resto de variables) incrustada por el servidor en el momento de creación del ejecutable. Tras el análisis que hemos realizado, resulta ser un hash MD5 del que aún no conocemos a qué responde. El hash MD5 está triplemente codificado con Base64 en el código.
El resultado de la decodificación es la contraseña que se puede introducir en el diálogo correspondiente para descifrar los datos sin necesidad de pagar.

El plan amigo

Lo que más ha llamado la atención es el "nasty way" para descifrar los archivos. Se supone que si se envía a dos conocidos el enlace ejecutable y estos pagan, se te dará el código de desbloqueo. Muy inteligente para obtener una rápida expansión, pero creemos que falso. El código no contiene ninguna instrucción para comprobar que esto ocurre automáticamente. A no ser que toda la inteligencia corra del lado del servidor (cosa que dudamos) no podemos garantizar (ni hemos evidenciado técnicamente que ocurra) que esto sea así y por tanto tiene muchas más posibilidades de tratarse de un simple bulo para esparcir más el malware.

De hecho, los ejecutables generados no contienen información sobre quién los ha recomendado en su interior, solo el hecho de ser creados bajo una URL que sí contiene el ID de la víctima inicial… pero observando toda la tramoya del sistema, su mala programación, las promesas no cumplidas (cuentas atrás amenazantes que finalmente no borran nada...), lo inestable de su infraestructura y "artesanía" en general, la navaja de Ockham nos inclina pensar que todo es falso, y no existe ningún mecanismo para controlar esto.

Contenido completo en fuente original ElevenPaths

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!