“Análisis de Ransomware”

Alumno: Ulises Roig Bonavitta

Ciberseguridad

● Fecha de la realización del informe de amenaza: 28/7/2023

● Diagnóstico: trojan.teslacrypt/bitman

Visión general de la amenaza

Por la información brindada a la hora de analizar el ransomware fue que nuestra empresa
“LexCorp” sufrió un ataque de un virus, luego de haber afectados algunos equipos se consiguió
una muestra del virus clasificado como ransomware, se analizó minuciosamente. Este ataque
logró encriptar información de servidores y equipos de usuarios. El malware solicita rescate,
para recuperar información.

Sugerencias
Cuenta con 11 dominios que deberían
ser bloqueados para poder evitar
posibles ataques y amenazas. No ser
susceptible el pedido extorsivo .

Posible infección
Lo más probable es que un empleado
ejecutó una página maliciosa o fue
víctima de fishing.

Detalle sobre su comportamiento

2
Después de probar el virus dentro de una computadora virtual podemos ver su accionar
dentro de esta:

informacion estática

Tipo de máquina: Intel 386 o posterior y compatibles

Marca de tiempo: 0000:00:00 00:00:00

3

Características del Sin reubicaciones, ejecutable, sin números de línea,

archivo de imagen: sin símbolos, 32 bits, sin depuración

Tipo de PET: PE32

Versión del enlazador: 2.24

Tamaño del código: 39424

Tamaño de datos 262656

inicializados:

Tamaño de datos no 3072

inicializados:

Punto de entrada: 0x12c0

Versión del sistema 4

operativo:

Versión de imagen: 1

Versión del subsistema: 4

Subsistema: interfaz gráfica de usuario de Windows

Screenshot de la simulación

Adjunto captura de la simulación una vez fue afectada:

4

Gráficos de procesos
5

podemos ver al inicio la aplicación se ejecuta como un servicio de Windows, Inicia CMD.EXE
para la ejecución de comandos y así mandar consultas, para terminar encriptando la
información y cambiando el nombre de archivos como ransomware.

Archivos caídos
6

Solicitudes HTTP

Conexiones

DNS Request
7

Amenazas

Conclusión

Comportamiento del Malware: Evasión / Troyano / Rescate

Tipo de malware: Ransomware

Nombre del Ransomware: uqhgock.exe, 123.exe, Trojan.Ransom.TeslaCrypt.exe, etc

8

Este Ransomware que infecta las computadoras y servidores del equipo inicialmente se hace ver como un archivo normal, sin
intenciones maliciosas, hasta que es ejecutado, por esa característica es denominado como un troyano.

Utilizando los servicios de Windows logra ejecutar comandos y scripts con fines maliciosos, enviando solicitudes, encriptando los
datos y borrando copias de seguridad para evitar la recuperación, cosas como “bcdedit.exe” se puede usar para deshabilitar las
funciones de recuperación automática del sistema.

Las recomendaciones son capacitaciones de seguridad en el personal y verificación de esta misma. El Ransomware pudo llegar de
muchas maneras, desde un empleado con malas intenciones, una descarga no segura o hasta fishing.

Otro método preventivo es que las copias de seguridad sean constantes, así ante una problemática como esta se puede recuperar
más del 10%.

Herramientas usadas para el análisis:

Virustotal

AnyRun

Mitre