GandCrab v5 evoluciona dificultando su desofuscación
Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.
Anuncio de asociación NTCrypt + GandCrab Fuente: securingtomorrow.mcafee.com |
Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).
La versión 5 viene con las siguientes características:
- Eliminación de archivos
- Descubrimiento de información en el sistema objetivo
- Ejecución a través de API
- Ejecución a travésde WMIC
- Detección de productos antimalware y de seguridad.
- Modificación del registro
- Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
- Descubrir recursos compartidos en red para cifrarlos
- Enumeración de procesos para poder eliminar algunos concretos
- Creación de archivos
- Elevación de privilegio
Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.
El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.
Hashes
e168e9e0f4f631bafc47ddf23c9848d7: Versión 5.0
6884e3541834cc5310a3733f44b38910: DLL de la versión 5.0
2d351d67eab01124b7189c02cff7595f: Versión 5.0.2
41c673415dabbfa63905ff273bdc34e9: Versión 5.0.2
1e8226f7b587d6cd7017f789a96c4a65: DLL exploit de 32 bits
fb25dfd638b1b3ca042a9902902a5ff9: DLL exploit de 64 bits
df1a09dd1cc2f303a8b3d5097e53400b: botnet relacionada con el malware (IP
92.63.197.48)
Powered by WPeMatico