Datos sobre el ransomware CrySIS/Dharma
Desde 2016 lleva este ransomware infectando múltiples equipos a lo largo del mundo, el modo de operar es Ransomware-as-a-service (RaaS). Hay que tener especial cuidado con este ransomware en especial, ya que hace un tiempo se filtró el código fuente de alguna variante, esto quiere decir que cualquiera puede usarlo o comprarlo.
Existen múltiples versiones del mismo y van surgiendo algunas nuevas, esto complica alguna de las detecciones.
Vector de entrada de CrySIS/Dharma
Los actores que utilizaron este ransomware, usaron el protocolo de escritorio remoto expuestos para introducirlo en el sistema y así comenzar con la infección. Otro método utilizado, es el ya conocido phishing, utilizaron archivos adjuntos de programas legítimos e incluso de algunos antivirus.
Ejecución del código
Cuando se inicia, el ransomware establece la consola en la página de códigos 1251, que cubre la capacidad de usar idiomas cirílicos como el ruso, el ucraniano y el búlgaro.
También elimina las instantáneas del sistema para dificultar cualquier intento de recuperación.
Se copia una copia adicional del ransomware en la carpeta «~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup» del host para garantizar que se ejecute en caso de que el sistema se reinicie antes de que se produzca el cifrado.
Todos los archivos de interés, como los documentos personales y operativos (no toca los archivos del sistema), se someten a cifrado.
Los archivos cifrados tienen una extensión que generalmente se refiere al actor de amenazas que controla el ransomware. Estos tienden a variar ampliamente, como se ve en las siguientes imágenes.
En un paso inusual, una vez que se completa el cifrado, el malware inicia la aplicación Microsoft HTML (MSHTA) para procesar y mostrar un archivo llamado «Info.hta». Las copias de este archivo se almacenan en cuatro ubicaciones separadas en el host:
C:\ProgramData\Microsoft\Windows\Menú Inicio\Programas\Inicio
C:\Usuarios\<cuenta de la víctima>\AppData\Roaming
C:\Usuarios\<cuenta de la víctima>\AppData\Roaming\Microsoft\Windows\Menú Inicio\Programas\Inicio
C:\Windows\System32
“Info.hta” es esencialmente un archivo HTML que contiene los detalles del rescate.
Si bien hay variaciones en las notas de rescate, todas contienen un método para comunicarse con el atacante y analizar los detalles del rescate. También se muestra una identificación única, que parece estar basada en las características del sistema de la víctima.
Además de su archivo «Info.hta», también se elimina un archivo separado llamado «info.txt». Contiene un conjunto truncado de instrucciones para contactar al atacante. Se deja una copia en las siguientes ubicaciones:
C:\
C:\Usuarios\Público\Escritorio
C:\Usuarios\<cuenta de víctima>\Escritorio
IoC
SHA256 |
419bc8196013d7d8c72b060da1a02d202d7e3eb441101f7bcb6d7667871a5c16 |
5c2fb1c42f007093be5e463f70ee7e7192990b3385a3cbcc71043980efa312e0 |
6a0017262def9565b504d04318c59f55bea136ac3dd48862d1ae90ff6b963811 |
b557bf11d82d3d64d028a87584657d25dba0480295ed08447f10c7a579dee048 |
b3984a2de76eee3ad20c4b13e0c0cbbab2dd6db65e3f6ca34418e79c21cf5c39 |
e9253218e30b30c8bb690b2ab02eef47b8b5c8991629d814b2af6664151e9a2f |
