El ransomware Manamecrypt y como recuperar tus archivos

0

Es la era del ransomware. Rara es la semana que pasa sin que tengamos noticias de una nueva muestra de este tipo de malware. Hoy hablaremos del nuevo Manamecrypt y te contaremos cómo puedes recuperar archivos cifrados por el ransomware Manamecrypt.

Así funciona Manamecrypt

El ransomware Manamecrypt es diferente

Aunque se trata de un “típico” troyano con ransomware, esta muestra -también conocida como Cryptohost– es diferente al resto en varios aspectos. Por ejemplo, no sólo cifra los archivos, sino que impide que ciertas aplicaciones (con unos parámetros definidos en su ejecutable) se lancen, algo que no se espera en principio de un ransomware. 

Además, Manamecrypt emplea un método de difusión algo diferente. Y es que la muestra analizada por laboratorios G Data, no se difunde mediante el clásico email, sino que llega junto con software legítimo. Se le considera por tanto un troyano de los de antaño. El “pack” consiste en un cliente original y firmado de uTorrent, que viene con el malware incrustado como premio. Ejemplo:

    • Paquete: c71c26bf894feb5dbedb2cf2477258f3edf3133a3c22c68ab378ba65ecf251d3
      Detección de G Data: Gen:Variant.MSIL.Lynx.13
    • Descarga Cliente µTorrent: b7579ad8dfa57512a56e6ff62ae001560c00a4ebb9faa55086a67d30fbb1eea6
      Detección G Data: Win32.Application.OpenCandy.G
    • Descarga Ransomware: 4486a1aaa49d8671826ff4d0d5c543892e1a3f0019e7f041032531ff69839bc9
      Detección G Data: Trojan.GenericKD.3048538 

Nota sobre Win32.Application.OpenCandy.G

OpenCandy es un PUP o Aplicación Potencialmente no Deseada en nuestro idioma. No es peligroso por sí mismo, mientras suele venir incluído en diferentes utilidades (sobre todo gratuitas) que descarguemos de internet. Estad atentos al instalador de turno para que no se cuele.

Método de ataque de Manamecrypt

Este troyano tiene varias funciones: cifrar los archivos del usuario y además bloquear ciertos programas de nuestro equipo. La forma de cifrar los archivos, además, difiere bastante de otras muestras como Locky, Petya o Teslacrypt.

Manamecrypt toma los datos que quiere cifrar y los copia dentro de un archivo RAR (comprimido). Después, cifra este .RAR con protección por contraseña. Los archivos originales son finalmente borrados.

Extensiones afectadas

*.3g2 *.3gp *.7z *.asf *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf
*.png *.ppd *.pps *.ppt *.pptx *.psd *.qt *.rm *.tiff *.txt *.wmv *.wpd *.wps *.xlr *.xls *.xlsl *.zip

 

Bloqueo de aplicaciones

Además de aplicar el cifrado, Manamecrypt impide que ciertas aplicaciones se ejecuten en nuestro equipo, si estas contienen cadenas con identificadores que reconoce. Como ejemplo, podemos ver el mensaje de bloqueo para una app de seguridad del equipo.

Bloqueo de aplicaciones de Manamecrypt

Concretamente, este ransomware bloquea la siguiente lista de aplicaciones, con nombres como “monitor”, “Antivirus” y otros que considera pueden impedir su ejecución:

ad-aware facebook registry editor
amazon game rune
anti virus instagram shop
anti-virus internet security sophos
antivirus kaspersky steam
avg lol system configuration
avira mcafee system restore
bitdefender meetme task manager
bullguard monitor trend micro
comodo netflix tumblr
debugger norton twitter
dr.web obfuscator vimeo
ebay origin vipre
eset pinterest youtube
f-secure registry

 

Detalles técnicos

  • Cuando es ejecutado, Manamecrypt añade una nueva entrada en el registro de Windows, de nombre “software”, en: HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Así, se asegura permanencia tras reinicios.
  • Además, se crean los siguientes ficheros:

%APPDATA%\cryptohost.exe Una copia del binario responsable de CryptoHost (Manamecrypt)
%APPDATA%\processor.exe (Utilidad de línea de comandos para WinRar)
%APPDATA%\files (lista de nombres con archivos cifrados)
%APPDATA%\[Encrpted_RAR_con_nombre_genérico]

  • Además, se crea en el registro la clave HKCU\Software\VB and VBA Program Settings\software\setting. Aquí se almacena la cantidad de Bitcoins a pagar y el tiempo restante que le queda al usuario.
  • Para descifrar los archivos, se llamará al proceso “processor.exe” (valga la redundancia), de la siguiente forma: 

processor X -o+ -pNombreusuarioarchivorarNombrearchivorarcifrado.rar C:\Users\UserName\Desktop

Cómo recuperar los archivos cifrados por Manamecrypt

En su versión actual, este ransomware es vulnerable a ataques, como señala G Data. Las víctimas podrán recuperar los archivos. La contraseña para el fichero comprimido en RAR está formada por:

SHA1Hash(Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + nombre de usuario

Un investigador de PCRisk.com ha informado de que la contraseña para estos archivos RAR creados por Manamecrypt, consiste en el “nombre de archivo.RAR + nombre del equipo”. Según resultados obtenidos a posteriori, es una combinación del nombre de archivo y el nombre de usuario (no el nombre del equipo). 
Recuperar archivos cifrados por Manamecrypt 2

El valor SHA1 es el nombre del archivo .RAR. De otro lado, el nombre de usuario puede obtenerse fácilmente de la siguiente forma:

  1. Tecla Windows + R > CMD > Intro
  2. En el CMD, será necesario escribir echo%username% + intro, para obtener el nombre

Por ejemplo: el archivo .RAR con nombre 123456789ABCDE y nombre de usuario Pepe. Así, la contraseña sería 123456789ABCDEPepe.

 
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR