{"id":946,"date":"2019-01-28T11:15:15","date_gmt":"2019-01-28T10:15:15","guid":{"rendered":"https:\/\/blogs.ugr.es\/seguridadinformatica\/?p=946"},"modified":"2019-01-28T11:20:05","modified_gmt":"2019-01-28T10:20:05","slug":"stop-rasonware","status":"publish","type":"post","link":"https:\/\/blogs.ugr.es\/seguridadinformatica\/stop-rasonware\/","title":{"rendered":"STOP Rasonware"},"content":{"rendered":"<p>Os dejo copia de la <a href=\"https:\/\/unaaldia.hispasec.com\/2019\/01\/stop-ransomware-aumenta-el-numero-de-victimas-en-los-ultimos-meses.html\" target=\"_blank\" rel=\"noopener\">p\u00e1gina \u00abuna al d\u00eda\u00bb<\/a> donde nos hablan de Rasonware.<\/p>\n<h4>27\/01\/19<\/h4>\n<h1>\u2018STOP Ransomware\u2019 aumenta el n\u00famero de v\u00edctimas en los \u00faltimos meses<\/h1>\n<p>Desde el mes de diciembre han aparecido m\u00faltiples variantes del ransomware conocido como \u2018STOP ransomware\u2019 que han infectado miles de usuarios.<\/p>\n<p><strong>Durante el mes de diciembre y en lo que llevamos de enero, se han distribuido hasta 17 variantes de este ransomware<\/strong>. Todas ellas han sido <strong>distribuidas a trav\u00e9s de sitios de descarga de <em>cracks<\/em> y <em>software pirata<\/em><\/strong> como KMSPico, Cubase y Photoshop, entre otros.<\/p>\n<p>Las variantes distribuidas durante esta campa\u00f1a de ransomware <strong>no incluyen cambios importantes en su c\u00f3digo<\/strong>, <strong>tan solo cambia la extensi\u00f3n utilizada para renombrar los ficheros cifrados<\/strong>. Las extensiones de las muestras conocidas hasta la fecha son:\u00a0<strong>.djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djuvq, .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba y .adobe<\/strong>.<\/p>\n<p>En el apartado t\u00e9cnico, <strong>este ransomware utiliza <em>Salsa20<\/em> como algoritmo de cifrado y<\/strong> <strong>una clave de 256 bits diferente para cada archivo<\/strong>. Para generar la clave de cifrado por cada fichero, <strong>usa una clave maestra que se obtiene realizando una petici\u00f3n al servidor de control<\/strong>, sin embargo, en caso de no poder realizar la conexi\u00f3n,<strong> usar\u00eda una clave maestra por defecto ya almacenada en el c\u00f3digo<\/strong>. Una vez obtenida el hash md5 de dicha clave, <strong>se crea una cadena de texto con los primeros 5 bytes del fichero a cifrar concatenado con el hash MD5 de la clave maestra, y se utiliza como clave de cifrado el hash MD5 de esta cadena de texto<\/strong>. Como vector de inicializaci\u00f3n (IV) para el algoritmo de cifrado utiliza los primeros 8 bytes de la clave.<\/p>\n<p>Estas variantes del ransomware incluyen una peculiaridad que podr\u00eda utilizarse para recuperar ciertos ficheros, y es que<strong> cifra \u00fanicamente los primeros 153600 bytes del fichero<\/strong>. Por el momento, el investigador y analista de malware, <a href=\"https:\/\/hispasec.us16.list-manage.com\/track\/click?u=dd62599a9195e52f2dca2ab9a&amp;id=10cce538ae&amp;e=1fcd1be184\">Michael Gillespie<\/a>, <strong>ha publicado una herramienta que permite descifrar los ficheros cifrados utilizando la clave maestra que incluye por defecto el ransomware<\/strong>. Aun no existe una herramienta que permita el descifrado de ficheros cifrados utilizando las claves proporcionadas por el servidor de control puesto que los atacantes las cambian continuamente.<\/p>\n<p>Cada una de las variantes utiliza un servidor de control diferente y estos servidores suelen estar activos durante un par de d\u00edas, ya que mientras el servidor de control est\u00e9 activo es posible obtener la clave de cifrado replicando la misma petici\u00f3n realizada por el malware. <strong>Para la obtenci\u00f3n de la clave el malware realiza una petici\u00f3n HTTP GET a un fichero <em>get.php<\/em> y pasa como par\u00e1metro una variable <em>pid<\/em> cuyo valor es el hash MD5 de la direcci\u00f3n MAC del adaptador de red del ordenador (get.php?pid=md5(MAC_ADDRESS)).<\/strong><\/p>\n<p>&nbsp;<\/p>\n<p><strong>M\u00e1s informaci\u00f3n:<\/strong><\/p>\n<p>Fuente:<\/p>\n<p><a href=\"https:\/\/hispasec.us16.list-manage.com\/track\/click?u=dd62599a9195e52f2dca2ab9a&amp;id=da1db89369&amp;e=1fcd1be184\">https:\/\/www.bleepingcomputer.com\/news\/security\/new-rumba-stop-ransomware-being-installed-by-software-cracks\/<\/a><\/p>\n<p>Herramienta de descifrado:<\/p>\n<p><a href=\"https:\/\/hispasec.us16.list-manage.com\/track\/click?u=dd62599a9195e52f2dca2ab9a&amp;id=515f5021ad&amp;e=1fcd1be184\">https:\/\/www.bleepingcomputer.com\/forums\/t\/671473\/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic\/page-31#entry4673086<\/a><\/p>\n<p>Hilo de afectados:<\/p>\n<p><a href=\"https:\/\/hispasec.us16.list-manage.com\/track\/click?u=dd62599a9195e52f2dca2ab9a&amp;id=edba4f2901&amp;e=1fcd1be184\">https:\/\/www.bleepingcomputer.com\/forums\/t\/671473\/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os dejo copia de la p\u00e1gina \u00abuna al d\u00eda\u00bb donde nos hablan de Rasonware. 27\/01\/19 \u2018STOP Ransomware\u2019 aumenta el n\u00famero de v\u00edctimas en los \u00faltimos meses Desde el mes de diciembre han aparecido m\u00faltiples variantes del ransomware conocido como \u2018STOP ransomware\u2019 que han infectado miles de usuarios. Durante el mes de diciembre y en lo [&hellip;]<\/p>\n","protected":false},"author":27,"featured_media":420,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[12],"tags":[14,18],"class_list":{"0":"post-946","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-noticias","8":"tag-noticias","9":"tag-seguridad","10":"entry"},"_links":{"self":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/users\/27"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/comments?post=946"}],"version-history":[{"count":3,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/946\/revisions"}],"predecessor-version":[{"id":948,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/posts\/946\/revisions\/948"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/media\/420"}],"wp:attachment":[{"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/media?parent=946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/categories?post=946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.ugr.es\/seguridadinformatica\/wp-json\/wp\/v2\/tags?post=946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}