Ransomware Windows Locker o XDS, propagado en repositorios de GitHub.

Diego Cortes R. martes, enero 28, 2025Compartir:


El ransomware "Windows Locker", también conocido como "XDS", fue observado por primera vez en diciembre de 2024. Escrito en .NET, se ha propagado ampliamente a través de plataformas como GitHub. Este software malicioso cifra los archivos del usuario utilizando un sofisticado algoritmo de cifrado AES-256 y les agrega la extensión ".winlocker". Una vez que el sistema se infecta, el ransomware deja una nota de rescate llamada "Readme.txt", que proporciona instrucciones al víctima sobre cómo pagar para recibir la clave de descifrado.

Características clave:
  • Cifrado AES-256: El ransomware utiliza cifrado AES para bloquear los archivos, dejándolos inaccesibles sin la clave de descifrado.
  • Mecanismos de Persistencia: Asegura que se ejecute en el inicio al modificar claves del registro y crear entradas de autorun.
  • Modificaciones del Sistema: Desactiva Windows Defender, previene opciones de recuperación y elimina copias sombra para dificultar la recuperación de los archivos.

Análisis Estático
  • Características de los Archivos: Nombre del Archivo: xds.exe / ConsoleApp2.exe
  • Tamaño del Archivo: 206.00 KB
  • Tipo de Archivo: Win32 EXE
  • Firmado: No firmado
  • Hash MD5: 5c86de54f31352ead8d2b3e573ea42fd
  • SHA256: 1f32f454ba32de5e0b7ed429b3542cdb0a9f826f5f5146f206baf074ec1abfe0
  • Fecha de Primer Avistamiento: Diciembre de 2024
Capacidad de Ejecución:

Este ransomware está diseñado para cifrar los datos del usuario, deshabilitar defensas del sistema y exigir un rescate. Utiliza una técnica de cifrado avanzada con el algoritmo AES-256, lo que hace que los archivos cifrados sean prácticamente imposibles de recuperar sin la clave correcta.

 Análisis Estático:

  • Técnica de Cifrado AES: El ransomware utiliza la función AES_Encrypt para aplicar el cifrado con una clave derivada de una contraseña codificada en base64. Al decodificar esta contraseña, se revela que es "1337".

    Código del Cifrado AES:


    AES_Encrypt("archivo_a_cifrar", "1337")

    Esto significa que todos los archivos serán cifrados con esta clave específica, dificultando su recuperación.

  • Persistencia: El malware crea entradas de autorun en el registro de Windows para asegurarse de que se ejecute cada vez que el sistema se reinicie. Esto se realiza mediante el método inicio_void, que agrega una entrada en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run:


    "discord" -> "C:\Users\admin\AppData\Local\discord.exe"


  • Replicación en Dispositivos Removibles: Utiliza la función USB para replicarse en unidades USB detectadas, almacenando copias de sí mismo con el nombre nombre.exe.

4. Modificaciones del Sistema:

  • Desactivación de Defensores: Desactiva Windows Defender mediante el comando DisableAntiSpyware = 1 en el registro de Windows.

  • Deshabilitación de Recuperación: El ransomware utiliza comandos como vssadmin delete shadows /all /quiet para eliminar las copias sombra y evitar que el usuario recupere los archivos en caso de ser atacado.

    Comando para eliminación de copias sombra:

    vssadmin delete shadows /all /quiet


5. Comunicación Remota:

El ransomware incluye un método conectar() que se conecta a un servidor remoto para descargar un archivo llamado data.txt, el cual contiene información del sistema infectado. Aunque esta función aún está en desarrollo, su propósito es permitir al atacante identificar los sistemas comprometidos.

6. Autodestrucción:

El ransomware cuenta con la función autodestruir, que borra tanto su ejecutable como archivos relacionados para dificultar el análisis forense.

Código de Autodestrucción:

Autodestrucción: el programa, armado con la función de "autodestrucción", asume una dramática misión autodestructiva. Primero recupera la ruta de acceso a la carpeta Datos de la aplicación e identifica la ubicación de su propio archivo ejecutable. Con precisión calculada, lee el contenido de un archivo llamado 'uac_location' ubicado dentro de la carpeta Datos de la aplicación. Este contenido, una pieza crucial de información, apunta a otro archivo que también está destinado a ser eliminado. En una operación clandestina, el programa orquesta la ejecución de símbolos del sistema ocultos, elaborando comandos para eliminar tanto su propio archivo ejecutable como el archivo especificado en uac_location. Los comandos se ejecutan con sigilo, lo que garantiza que las eliminaciones sean contundentes y silenciosas. La función de autodestrucción garantiza meticulosamente que no deje rastro, borrando de manera eficiente su existencia y el archivo especificado del sistema y reduciendo las posibilidades de análisis y detección forense.



7. Proceso de Cifrado de Archivos:

El ransomware cifra archivos en directorios como Desktop, Documents y Downloads, agregando la extensión .winlocker a los archivos cifrados. A continuación, cambia el fondo de pantalla del sistema para mostrar una imagen de advertencia.

Código para cambio de fondo:



SystemParametersInfo(SPI_SETDESKWALLPAPER, 0, "image.jpg", SPIF_UPDATEINIFILE)

8. Identificación del Sistema:

  • Creación de ID Único: El ransomware genera un ID único para cada sistema infectado. Este ID es utilizado en la nota de rescate y ayuda a personalizar la amenaza.

Código para generación de ID único:



CreateId()

9. Mensaje de Rescate:

El ransomware crea una nota de rescate (README.txt) en cada directorio afectado. Esta nota contiene instrucciones sobre cómo pagar el rescate, junto con el ID único del sistema, el nombre de usuario y el nombre de la máquina.


Análisis Dinámico:

1. Configuración Inicial:

En el análisis dinámico, el ransomware se ejecuta en un entorno controlado, observando su comportamiento. El malware cifra archivos, modifica el registro y crea una copia persistente de sí mismo en C:\Users\<Username>\AppData\Local\discord.exe.

2. Comportamiento en Tiempo Real:

El ransomware sigue estos pasos:

  • Cifra archivos en carpetas importantes y agrega la extensión .winlocker.
  • Modifica el registro para garantizar que se ejecute automáticamente.
  • Desactiva mecanismos de recuperación, como copias sombra y Windows Defender.

Recomendaciones Estratégicas:

  1. Refuerzo de Protección en Endpoints: Asegurar que todos los endpoints cuenten con soluciones antivirus actualizadas y herramientas de detección de endpoint (EDR) para detectar ransomware basado en .NET.
  2. Segmentación de Red: Asegurar que las redes sensibles estén aisladas de las redes generales de empleados para limitar la propagación del ransomware.
  3. Estrategia de Copias de Seguridad: Implementar copias de seguridad robustas y cifradas almacenadas offline, verificando que no sean accesibles desde la red principal.

Recomendaciones Tácticas:

  1. Monitoreo de Claves del Registro: Supervisar cambios en claves del registro, especialmente en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  2. Detección de Extensiones de Archivos: Implementar sistemas para detectar la creación de archivos con extensiones inusuales como .winlocker.
  3. Análisis Comportamental: Utilizar herramientas de análisis de comportamiento para detectar patrones asociados con ransomware, como el cambio de archivos y la modificación del sistema.


Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!