lunes, 14 de agosto de 2017

Wannacry Ransomware proceso criptográfico.

https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRCkT6jeZ4VSIR3YMLcBLO4hGTcdo4TCwWobBHCaD6VbyvDMFXI

Funciones usadas para el Proceso criptográfico de infección
  • Cada infección genera un nuevo par de llaves RSA-2048.
  • La clave pública se exporta como blob y se guarda en 00000000.pky.
  • La clave privada se cifra con la clave pública ransomware y se guarda como 00000000.key
  • Cada archivo se cifra usando AES-128-CBC, con una clave AES única por archivo.
  • Cada clave AES se genera con la función CryptGenRandom.

    Donde la función CryptGenRandom llena un búfer con bytes criptográficos y los datos producidos por esta función son criptográficamente aleatorios. Es mucho más aleatorio que los datos creados por el generador de números aleatorios típicos, como el que se usa en un compilador de C.
     
Para poder usar esta función se requiere como mínimo:
--- Para clientes ---Windows XP (solo aplicaciones de desktop)

--- Para Servidores --- Windows Servers 2003 (solo aplicaciones de desktop)

 Cabe mencionar tambien que existen otras funciones que pueden ser usadas para 
tal fin:

 CryptAcquireContext   CryptGenKey   CryptSetKeyParam  
  • La clave AES se cifra utilizando el par de claves RSA específico de la infección.
Cebe señalar que la llave pública RSA utilizada para cifrar la clave privada de RSA de infección se incrusta dentro de la DLL y es autoría de los creadores del Ransomware. 

Saludos ---> Share NOta

lunes, 7 de agosto de 2017

WANNACRY BITCOIN ADDRESES : Las vaciaron?


Buenas tardes amigos hace unos días comentaron en las noticias que vaciaron las cuentas donde se almacenaban los bitcoins obtenidos por los creadores del Ransomware WANNACRY   hechandole un ojo a esas direcciones hagamos un balance de ellas:

Para empezar son 3 direcciones hardcoded de  BITCOINS que son las siguientes:


https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94



https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw


https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

 Como podemos ver amigos el resumen seria:

GANANCIA TOTAL en las 3 cuentas:  41.XXXX btc.

Contando que hoy el costo del bitcoin es de:

 Seria un total de:  



$ 2,357,541.00  +-   pesos mexicanos

wowwwwwwww si que sacaron lana esas personas........


y como podemos ver en la gráfica siguiente se vació todo jejejejeje  con esto comprobamos que fueron vaciadas 1 día después de que según arrestaron al que encontró el killswitch  para ese Ransomware.



Extraño?    si!   pero solo podemos especular.

Saludos

Li. Rodolfo H. Baz
www.rodolfohbaz.net 





Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...