Ransom32: come funziona?

Naviga le tue risposte
4

Ransom32 sembra essere un nuovo ransomware scritto (parzialmente) in JavaScript. A quanto ho capito, non influisce su un utente tramite browser / visitando un sito Web, ma scaricando alcuni file .rar che contengono il codice JavaScript dannoso e i mezzi per eseguirlo.

Ma cosa sfrutta Ransom32 esattamente? Una vulnerabilità in WinRAR o in Windows? Oppure si basa su un comportamento errato degli utenti?

La descrizione migliore che ho trovato:

The malware uses the script language implemented in WinRAR to automatically unpack the content of the archive into the user’s temporary files directory and execute the “chrome.exe” file contained in the archive.
[...]
Once Ransom32 arrives on a system and is executed [by whom? the .rar itself?], it will first unpack all its files into the temporary files folder. From there it copies itself into the “%AppData%\Chrome Browser” directory. It uses the bundled “s.exe” file to create a shortcut in the user’s Startup folder named “ChromeService” that will make sure the malware is being executed on every boot.
source

Quindi, per me, sembra che un attacco funzioni in questo modo:

  1. L'utente scarica un file .rar
  2. L'utente apre il file (o si apre da solo?)
  3. Il file .rar decide da solo dove estrarre
  4. Il file .rar esegue un file .exe (o l'utente deve eseguirlo?)
  5. Il file eseguito verrà copiato / collegato a un percorso specifico, in modo che venga avviato ad ogni avvio

Questo è un riepilogo corretto?

Se lo è, sembrerebbe a me come se i passaggi da 3. a 5. non dovessero davvero accadere [*]. Ransom32 sfrutta alcune vulnerabilità note in Windows o WinRAR? O è questo comportamento desiderato e ho frainteso il modo in cui il ransomware influisce sul sistema?

[*] Non ho molta familiarità con la sicurezza di Windows, ma non mi sembra una buona idea lasciare che un file .rar decida da solo dove vuole essere estratto, o lasciare che un file .rar esegua .exe File.

    
posta tim 20.06.2016 - 19:37
fonte

2 risposte

3

No, nessun exploit software, solo classico sfruttamento di utenti stupidi.

Il payload è distribuito in un file RAR autoestraente. Un file RAR autoestraente è in realtà solo un estrattore eseguibile con il file .rar aggiunto al file. Tale file è un file eseguibile con estensione .exe e ha una funzione per eseguire codice arbitrario dopo l'estrazione.

I passaggi sono più simili a questo:

  1. L'utente scarica un file .exe
  2. L'utente esegue il file .exe (Fail!)
  3. Il file .exe si estrae nel profilo Google Chrome degli utenti per nasconderlo in
  4. Il file .exe esegue un codice per far sì che il malware estratto venga eseguito ed eseguito all'avvio

Non c'è niente di originale in questo.

Questo post è basato sulle informazioni nel seguente articolo:

link

    
risposta data 20.06.2016 - 19:56
fonte
1

Beh, in realtà, Ransom32 non è un file .exe, è un .scr (che è fondamentalmente la stessa cosa) e non usa il codice WinRAR ma il codice NSIS nell'ultima versione che ho trovato sul web .

Possiamo facilmente decomprimere il file scr per vedere cose interessanti:

Innanzitutto, il file di script NSIS avvierà un programma di installazione di .NET 4.0 se non viene trovato sul sistema

Quindi estrarrà il file "client.exe" all'interno del file .scr nella cartella% TEMP% ed eseguirlo. Questo file creerà una cartella in% AppData%. Per ogni file Ransom32 generato, il nome della cartella (e in realtà il nome stub che è lo stesso del nome della cartella) cambierà.

Lo stub si connette a un server, ma non riesco a identificarlo, a causa dell'uso della rete Tor e del "Meek"

Spero di rispondere alla tua domanda e, mi scusi per qualsiasi errore di lingua, per favore:)

    
risposta data 26.06.2016 - 21:46
fonte

Leggi altre domande sui tag

Perché SSL Labs dice che POODLE è mitigato se un server sceglie RC4? Blocca utenti non autorizzati dall'accesso a intranet