Do Math or Windows Dies! Personalizando un ransomware escrito en .NET

21 de junio de 2021 Por
NOTA: El contenido de este artículo es educativo e informativo. El objetivo es aprender cómo funciona el malware y cómo identificar sus capacidades. El autor no se hace responsable de una mala utilización de la información aquí expuesta. El autor NO RECOMIENDA bajo NINGÚN CONCEPTO la ejecución de la muestra en una máquina fuera de laboratorio aislado.

En este artículo vamos a analizar, destripar y personalizar un pequeño malware de tipo screenlocker (una variante de Ransomware que bloquea el equipo pero no cifra los ficheros). Se trata de una muestra torpe pero efectiva que vamos a manipular para crear nuestro propio screenLocker.

SSHBOT, el ScreenLocker chapuza

SSHBOT, también conocido como P4YME, es un malware antiguo y poco sofisticado que pertenece a la familia de los ransomwares.

La muestra utilizada en este artículo es pública y está subida a VirusTotal, donde cuenta con 54 detecciones:

Cuando se ejecuta, reinicia el equipo y muestra este mensaje:

[Read more…]

Evolución de Shamoon – Parte 2

15 de febrero de 2019 Por

[Nota: Este artículo ha sido elaborado por ARTURO NAVARRO y SALVADOR SÁNCHIZ ARANDA]

Tal y como indicábamos en el anterior artículo de esta saga continuamos con la disección de la amenaza Shamoon, en esta ocasión en su vertiente más reciente.

DICIEMBRE 2018. SHAMOON V3

Shamoon v3 aparece el 10 de diciembre 2018 con más similitudes a la versión original que a la v2. Aparece combinada con una nueva pieza de malware, Filerase (también llamada Trojan.Filerase), responsable de borrar datos del OS del host infectado de forma totalmente permanente (siendo imposible su recuperación con técnicas forenses), para posteriormente proceder al borrado de MBR que realiza el componente wiper de Shamoon v3.
[Read more…]