Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware 7h9r (.7h9r)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos por medio del algoritmo AES, el password de cifrado es a su vez protegido mediante una combinación de llaves RSA. Para recuperar la información requiere de un pago de 100 USD.

Agradecimientos especiales a MalwareHunterTeam (@malwrhunterteam) y Michael Gillespie (@demonslay335) por la identificación del ejemplar.

 

Análisis

Crea el mutex:
» MyAppMutex

Crea el archivo:
» README_.TXT


El troyano inicia su ejecución definiendo los diferentes tipos de archivo a modificar, estas extensiones están codificadas en Base64 y cifradas a través del algoritmo XOR con la clave 7h9r.

*.3gp *.7z *.apk *.avi *.bmp *.cdr *.cer *.chm *.conf *.css *.csv *.dat *.db *.dbf *.dbx *.djvu *.doc *.docm *.docx *.epub *.fb2 *.flv *.gif *.gz *.ibooks *.iso *.jpeg *.jpg *.key *.md2 *.mdb *.mdf *.mht *.mhtm *.mkv *.mobi *.mov *.mp3 *.mp4 *.mpeg *.mpg *.pdf *.pict *.pkg *.png *.pps *.ppsx *.ppt *.pptx *.psd *.rar *.rtf *.sav *.scr *.swf *.tbl *.tif *.tiff *.torrent *.txt *.vsd *.wmv *.xls *.xlsx *.xml *.xps *.zip *.ckp *.java *.py *.cpp *.asm *.c *.js *.cs *.php *.rb *.rbw *.dacpac *.db3 *.dcx *.mrg *.sql *.sqlite *.sqlite3 *.sqlitedb

Una vez obtenida esta información se crea el par de llaves RSA (pública y privada) con las cuales se busca proteger el password de cifrado, posteriormente esta información es enviada a la función GetFiles la cual contiene las siguientes instrucciones:

GetFiles

» Recibe la información para iniciar el proceso de cifrado.
» Decodifica y descifra el texto con el cual será informado al usuario de la modificación sufrida en cada uno de los archivos. Al igual que las extensiones objetivo esta cadena de texto esta codificada en Base64 y cifrada a través del algoritmo XOR con la clave 7h9r.
» Exonera del proceso las carpetas: \Windows y \Program Files.
» Define un tamaño máximo para determinar si debe o no cifrar el archivo.
» Modifica los datos a través de la función Encrypt.
» Crea un nuevo archivo con el contenido cifrado y la extensión .7h9r, no sin antes eliminar el original.
» Finalmente crea el archivo README_.TXT con la cadena de texto descifrada al comienzo de la función.

Posteriormente se ejecuta la función encargada de la modificación de los datos y la protección de cada una de las llaves de cifrado (Encrypt):

Encrypt

» Define una nueva llave pública RSA.
» Genera un password aleatorio para cada uno de los archivos a modificar.
» Cifra el contenido del archivo.
» Cifra el password (Key+IV) por medio de la llave publica RSA creada al momento de iniciar la ejecución.
» Cifra la llave privada con la llave publica RSA creada en el primer paso de este método (Encrypt).
» Finalmente retorna toda esta información en conjunto a la función GetFiles (por medio de un arreglo de bytes) para ser almacenada en el contenido del nuevo archivo con extensión .7h9r.

Al momento de establecer comunicación con el autor del Malware se define el costo final para recuperar los datos (100 USD) y los requerimientos necesarios:

 

Descarga

Nombre de archivo: 7h9r.exe / Tamaño: 19.0 KB / VT
MD5: c0b834f87051efead202bcec26501444
SHA1: f9d66a4a56e62d1cb7d3591c8510aa115ed2b44d
SHA256: 7b2c27d373172f400dc0aa7a3ee07172529614b4db2d2f7ca3c40f3856e7f0e0

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
7h9r Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos