A pesar de la disminución en el número de infecciones por ransomware en el último año, hay varias familias de ransomware que aún están activas. Ransom.Troldesh , aka Shade, es uno de ellos. Según la telemetría de nuestro producto, Shade ha experimentado un fuerte aumento en las detecciones desde el cuarto trimestre de 2018 hasta el primer trimestre de 2019.

Cuando vemos un rápido aumento en las detecciones de una familia de malware, eso nos dice que estamos en medio de una campaña activa y exitosa. Así que echemos un vistazo a este ransomware «sombrío» para saber cómo se propaga, cuáles son sus síntomas, por qué es peligroso para su negocio y cómo puede protegerse contra él.

Pico de Troldesh

Troldesh se disparó en febrero de 2019

Vector de infeccion

Troldesh, que ha existido desde 2014, generalmente se propaga por malspam, específicamente archivos adjuntos de correo electrónico maliciosos. Los archivos adjuntos suelen ser archivos zip presentados al receptor como algo que «tiene que» abrir rápidamente. El zip extraído es un Javascript que descarga la carga útil maliciosa (también conocido como el propio ransomware). La carga útil a menudo se aloja en sitios con un Sistema de gestión de contenido (CMS) comprometido .

Troldesh ofuscado Javascript

Parte de la ofusca Troldesh Javascript

Como el remitente en los correos electrónicos de Troldesh generalmente es falsificado , podemos suponer que los actores de la amenaza detrás de esta campaña son phishing , con la esperanza de atraer la atención de los usuarios para que abran el archivo adjunto.

Se cree que el origen de Troldesh es ruso porque sus notas de rescate están escritas tanto en ruso como en inglés.

Nota de rescate de Troldesh

Los sistemas de destino están ejecutando el sistema operativo Windows. Las víctimas deberán descomprimir el archivo adjunto y hacer doble clic en el archivo Javascript para que comience la infección.

Comportamiento ransomware

Una vez implementado, el ransomware deja caer una gran cantidad de archivos readme # .txt numerados en la computadora infectada una vez que se completa la rutina de cifrado, lo más probable es que se asegure de que la víctima lea al menos uno de ellos. Estos archivos de texto contienen el mismo mensaje que la nota de rescate.

Extensiones de archivo de destino

Troldesh busca archivos con estas extensiones en unidades fijas, extraíbles y remotas:

.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai3, .ai4 , .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx,. avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm,. dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc,. jpe, .jpeg,, .jpf, .jpg, .jpx, .js,.jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4. mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm,. pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl , .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .rw, .ssi, .st, .stm, .svg, .svgz. swf, .tab, .tar, .tbb, .tbi,.tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wb2, .wav, .wbm, .wbm, .wbm .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt,. xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, y .zip

Cifrado

Los archivos se cifran utilizando AES 256 en modo CBC . Para cada archivo cifrado, se generan dos claves AES de 256 bits aleatorias: una se utiliza para cifrar el contenido del archivo, mientras que la otra se utiliza para cifrar el nombre del archivo. Las extensiones mencionadas anteriormente se agregan después del cifrado del nombre de archivo.

Proteger contra Troldesh

Los usuarios de Malwarebytes pueden bloquear Ransom.Troldesh a través de varios módulos de protección diferentes, que pueden impedir que el ransomware cifre archivos en tiempo real.

La protección en tiempo real contra los archivos en nuestras definiciones detiene el propio ransomware:

Troldesh protección en tiempo real

Nuestros módulos anti-exploit y anti-ransomware bloquean el comportamiento sospechoso:

Malwarebytes anti ransomware

Mientras tanto, la protección de sitios web maliciosos de Malwarebytes bloquea los sitios comprometidos:

Protección web

Otros métodos de protección.

Hay algunas medidas de seguridad que puede tomar para evitar llegar a la fase en la que la protección debe activarse o los archivos deben recuperarse.

  • Escanear correos electrónicos con archivos adjuntos. Estos correos sospechosos no deben llegar al usuario final.
  • Educación del usuario. Si llegan al usuario final, se les debe informar que no abran archivos adjuntos de esta naturaleza o que ejecuten archivos ejecutables en archivos adjuntos. Además, si su empresa tiene un plan contra el phishing , deben saber a quién reenviar el correo electrónico en la organización para su investigación.
  • Lista negra La mayoría de los usuarios finales no necesitan poder ejecutar scripts. En esos casos, puede hacer una lista negra de  wscript.exe.
  • Actualización de software y sistemas. La actualización del software puede tapar vulnerabilidades y mantener a raya las vulnerabilidades conocidas.
  • Archivos de respaldo. Las copias de seguridad confiables y fáciles de implementar pueden acortar el tiempo de recuperación.

Remediación

Si debe llegar al punto donde es necesaria la reparación, estos son los pasos a seguir:

  • Realizar un escaneo completo del sistema. Malwarebytes puede detectar y eliminar Ransom.Troldesh sin más interacción del usuario.
  • Recuperar archivos. La eliminación de Troldesh no descifra sus archivos. Solo puede recuperar sus archivos de las copias de seguridad que realizó antes de que ocurriera la infección o realizando una operación de reversión.
  • Deshazte del culpable. Eliminar el correo electrónico que fue la causa raíz.

Descifrado

A pesar de que AES 256 es un algoritmo de cifrado sólido, existen herramientas gratuitas de descifrado disponibles para algunas de las variantes de Troldesh. Puede encontrar más información sobre estas herramientas de descifrado en NoMoreRansom.org (busque bajo «Sombra» en la lista alfabética).

Las víctimas de Troldesh reciben un código único, una dirección de correo electrónico y una URL a una dirección de cebolla. Se les pide que se pongan en contacto con la dirección de correo electrónico mencionando su código o que vayan al sitio de cebolla para obtener más instrucciones. No se recomienda pagar a los autores del rescate, ya que financiará su próxima ola de ataques.

Lo que diferencia a Troldesh de otras variantes de ransomware es la gran cantidad de archivos readme # .txt con la nota de rescate colocada en el sistema afectado y el contacto por correo electrónico con el actor de amenazas. De lo contrario, emplea un vector de ataque clásico que se basa principalmente en engañar a las víctimas no informadas. Sin embargo, ha tenido bastante éxito en el pasado y en su actual ola de ataques. Los descifradores gratuitos disponibles solo funcionan en algunas de las variantes más antiguas, por lo que las víctimas probablemente tendrán que confiar en las copias de seguridad o en las funciones de retroceso.

IOCs

Ransom.Troldesh ha usado las siguientes extensiones para archivos encriptados:

.xtbl 
.ytbl 
.cbtl 
.no_more_ransom 
.better_call_saul 
.breaking_bad 
.heisenberg 
.da_vinci_code 
.magic_software_syndicate 
.windows10 
.crypted000007 
.crypted000078

Contactos :
Novikov.Vavila@gmail.com
Selenadymond@gmail.com
RobertaMacDonald1994@gmail.com
IPs
TCP 154.35.32.5 443 saliente
Bitcoin:
1Q1FJJyFdLwPt5yyZAQ8kfxfeWq8eoD25E
Dominio
cryptsen7fo43rr6.onion