Investigadores de CSE Cybsc - Zlab, analizaron una nueva variante del ransomware Mobef, un malware que en el pasado principalmente apunto a usuarios Italianos.
Thanks to @Antelox, we now have a sample for the ransomware that is targeting Italy (https://t.co/4vQ5TL6uLE): https://t.co/626T3lAj3f— MalwareHunterTeam (@malwrhunterteam) 24 de febrero de 2018
Interesting packing/protection, maybe it's worth to dig into @hasherezade @VK_Intel.@BleepinComputer @demonslay335
cc @JAMESWT_MHT @forensico
Como un ransomware clásico, realiza la encriptación de la información del usuario y solicita un cobro por el rescate de la información.
Los investigadores han revelado que el ransomware fue escrito en Delphi 4 y este no incluye cadenas útiles. La tabla de importación de datos esta vacía, esto significa que el malware no fue construido de manera trivial, esta debe tener algún metodo para poder evadir los análisis.
Después de la ejecución del malware, el ransomware crea tres archivos.
4YOU: este contiene la nota del rescate, dentro de una ventana popup. esta almacenada en cada carpeta que fue encriptada
KEI: esta contiene la llave personal para identificar a la victima esta es almacenada en cada carpeta que fue encriptada.
Log: esta contiene el listado de archivos encriptado y esta almacenado en C:\Windows.
Al terminar la fase de encriptación, la nueva variante de Mobef ransomware intentará contactar al servidor "mutaween.sa" para exfiltrar una serie de información. Esta en proceso de investigación el dominio ya que este actualmente no existe.
Un análisis profundo, detecto que el Ransomware a parte de realizar la encriptación en el equipo local, es capaz de encriptar carpetas compartidas y storage externos.
Acá esta el analisis http://csecybsec.com/download/zlab/20180228_CSE_Mobef_ransomware_new_variant.pdf
Fuente: http://securityaffairs.co/wordpress/69646/malware/mobef-ransomware-new-variant.html
