Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware 7ev3n-HONE$T (.R5A)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos agregando la extensión .R5A a cada uno de ellos y requiere de un pago de 400 USD para recuperar la información.

 

Análisis

Crea los archivos:

» FILES_BACK.txt: Información de contacto con el autor y numero de identificación de la maquina, creado en todas las carpetas del sistema.
» C:\Users\Public\conlhost.exe: Copia del troyano.
» C:\Users\Public\testdecrypt: Información de los archivos que pueden ser recuperados de forma gratuita.
» C:\Users\Public\time.e: Información sobre la fecha en que fue ejecutado el troyano (la fecha almacenada en este archivo esta adelantada 3 días).
» C:\Users\Public\files: Información de algunos de los archivos que fueron cifrados.


Una vez los archivos son cifrados se modifica el nombre de cada uno de ellos con una inicial A seguida de un numero de secuencia, finalmente se agrega la extensión .R5A


Realiza conexiones con un servidor de C&C ubicado en Turquía con la dirección IP 46.45.169.106 (Turkey Istanbul Radore Veri Merkezi Hizmetleri A.s. / AS197328) desde el cual se genera y descarga la dirección Bitcoin a la cual se debe efectuar el pago, este valor se genera de forma aleatoria cada vez que se visita el componente redirect.php

Así mismo este servidor es utilizado para reportar nuevas infecciones (realizando un requerimiento HTTP GET al componente tgfertsngkrtlrg5.php) enviado información de configuración de la maquina como:

» RIGHTS: Nivel de privilegios bajo el cual se ejecutó el troyano.
» WIN: Versión del sistema operativo utilizado por el usuario.
» WALLET: Dirección Bitcoin asociada a la infección.
» ID: Numero de identificación de la máquina.
» UI

Cabe mencionar que si son consultados cualquiera de los directorios del servidor o los archivos a buscar no son válidos se redirecciona el browser al sitio Web www[.]newdream[.]net/crash/js2.html el cual se encarga de terminar la ejecución del mismo.


Como algunos de los troyanos de este tipo posee un conjunto de opciones para informar al usuario de la infección en su totalidad:

Modulo a través del cual es posible descifrar de 3 a 5 archivos aleatorios como evidencia de la correcta funcionalidad de la aplicación:

E información detallada para realizar el pago y la transferencia del dinero:

El método por defecto para realizar la transferencia es a través de blockchain.info

Al establecer comunicación con el autor por medio del correo electrónico nombrado en el archivo FILES_BACK.txt (backcontent@contractor.net) se definen dos cantidades a pagar dependiendo de si existe o no el mensaje generado por el troyano (ventana verde), la respuesta es obtenida mediante otro eMail: decrypter1@protonmail.com

 

Descarga

Nombre de archivo: 7ev3n.exe / Tamaño: 478.5 KB / VT
MD5: 96a3bb6b10e4c6f614c783a7e42fdbcc
SHA1: aa85a4b5de0889a04de4bd99e293ef668168b98d
SHA256: 575e6fa02a54b9e3cd5977a66d09cf0e841d6efbe59be334056cf8fe8613194a

Nombre de archivo: conlhost.exe / Tamaño: 478.5 KB / VT
MD5: aa19e546531df221e18ca06899ea3624
SHA1: 143b65196e981e781cff8517b39a690c2afc3eb7
SHA256: 1d399729475b6ad39ed5ef1519be4abe7e8b80c49ef9497ee5101fb21a533ce0

Nombre de archivo: conlhost_dump.exe / Tamaño: 72.0 KB / VT
MD5: 312c1a8ae0b82a8e6644114b2a0d5080
SHA1: 741400e302252a81bbc1eeeae75b46562b97e5b3
SHA256: 3329ebb01feef7d7a0be5a8803fbd7fd6e785878d68b326cd6e282ff69259533

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
7ev3n-HONE$T Ransomware Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos