Variante de KillDisk afecta a entidades financieras de Latinoamérica
Esta nueva variante simula ser un ransomware mostrando un mensaje a la víctima en la pantalla informando de que sus archivos han sido encriptados, cuando en realidad van a ser eliminados de forma permanente.
Infección
El malware llega al sistema a través de otra aplicación maliciosa, lo que se intuye de ciertas rutas hardcodeadas en el código del malware (c:windowsdimens.exe).
Proceso de infección – Fuente: https://blog.trendmicro.com |
KillDisk también cuenta con una funcionalidad de «autodestrucción», que en realidad lo que hace es renombrarse a sí mismo (c:windows 123456789). Esta cadena también aparece hardcodeada en la muestra analizada por Trend Micro.
Borrado de archivos
Esta nueva variante recorre todas las unidades lógicas, respetando ciertos directorios de la unidad que contiene el sistema operativo:
- WINNT
- Users
- Windows
- Program Files
- Program Files (x86)
- ProgramData
- Recovery (case-sensitive check)
- $Recycle.Bin
- System Volume Information
- old
- PerfLogs
Antes de borrar un archivo se renombra aleatoriamente y se sobreescriben con ceros los primeros 0x2800 bytes del fichero.
Borrado de ficheros – Fuente: https://blog.trendmicro.com |
Borrado de discos
El malware lee los registros de arranque desde el \.PhysicalDrive0 hasta \.PhysicalDrive4 y sobreescribe con ceros los primeros 0x20 sectores del MBR. Además utiliza la información contenida en este registro para dañar en lo posible la lista de particiones.
Lectura del MBR – Fuente: https://blog.trendmicro.com |
Una vez borrados el MBR y los ficheros y directorios, KillDisk inicia un contador que reiniciará la máquina cuando llegue a cero. En concreto intentará terminar los siguientes procesos para forzar este reinicio:
- Client/server run-time subsystem (csrss.exe)
- Windows Start-Up Application (wininit.exe)
- Windows Logon Application (winlogon.exe)
- Local Security Authority Subsystem Service (lsass.exe)
Reinicio – Fuente: https://blog.trendmicro.com |
Recomendaciones
Mantener el sistema y las aplicaciones actualizadas, así como hacer copias de seguridad de forma periódica, es la mejor medida para mitigar en lo posible este tipo de ataques.
Indicadores de compromiso
SHA256: 8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5
Powered by WPeMatico