Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware BadBlock
General

Troyano del tipo Ransomware que cifra el contenido de los archivos y requiere de un pago de 2 Bitcoins, aproximadamente 888,4 USD para poder recuperar la información.

El archivo original está protegido a través de UPX, una vez se desempaqueta es posible identificar el lenguaje de programación en el cual está desarrollado: Borland Delphi.

 

Comportamiento

Crea los archivos:

» Help Decrypt.html: Este archivo es creado en todas las carpetas del sistema.
» C:\Users\MMD\Documents\badblock.exe
» C:\ProgramData\Network Prosoft\badransom.exe: Copia del archivo original.
» C:\ProgramData\Network Prosoft\baman.vad
» C:\ProgramData\Network Prosoft\warn: Contenido HTML del archivo "Help Decrypt.html".

Modifica las siguientes llaves de registro:

» HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
» HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
» HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\UNCAsIntranet
» HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\AutoDetect

Al revisar el detalle del archivo se identifican algunas de las funciones utilizadas para cifrar la información:

Posteriormente realiza la conexión con el servidor de comando y control (C&C) ubicado en la dirección IP: 181.215.236.213 bajo el dominio: hxxp://managemilz.com (Sao Paulo - Host1plus Hosting Services. Brazil / AS393277 RHMEDIA-500 - USWHSS.COM, US, dentro del primer paquete de red se realiza el envío de los valores para los parámetros UID (identificación de la maquina infectada) y KEY (posible llave con la que serán cifrados los archivos), el componente encargado de recibir esta información está almacenado en el servidor bajo el nombre: qpalkso.php

Y se obtiene como respuesta el número de cuenta Bitcoin a la cual se debe realizar la transferencia: 115JX84uZi1VSpYcPjdAn3YgEe4gZxGHKr

Si esta conexión no es exitosa el troyano (badransom.exe) arroja un error de comunicación y termina su ejecución:

Si por el contrario la conexión fue realizada exitosamente; cifra el contenido de los siguientes tipos de archivo y a diferencia de otros troyanos de esta clase NO agrega ninguna extensión al final de cada uno de ellos (lo que impide que el usuario pueda determinar cuál es el alcance y el impacto de la amenaza):

.3ds, .7z, .aac, .accdb, .accdc, .accde, .accdt, .ai, .asp, .aspx, .avi, .bak, .bik, .bmp, .c4d, .cab, .cdr, .cdt, .class, .css, .csv, .dat, .db, .dbf, .dbx, .dds, .doc, .docm, .docx, .dot, .dotm, .dotx, .drw, .dwg, .dxf, .exe, .fdb, .gdb, .gdoc, .gif, .htm, .html, .iso, .jpeg, .jpg, .js, .jsp, .log, .maf, .max, .mdb, .mdf, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .ods, .odt, .old, .ott, .pdf, .php, .pic, .png, .pps, .ppt, .pptm, .pptx, .psd, .pwi, .rar, .rtf, .sav, .save, .sdc, .sdf, .sdw, .sql, .sqlite, .svg, .swf, .sxw, .tif, .txt, .u3d, .vsd, .wav, .wdb, .webm, .wma, .wmf, .wmv, .wpd, .xls, .xlsm, .xlsx, .xml, .zip

 

Descarga

Nombre de archivo: badblock.exe = badransom.exe / Tamaño: 755.5 KB / VT
MD5: 856b19aff237ace0dda3ecfc71c09767
SHA1: 12c2bd835c52ed13f3b8a82c432ee11c490b90c8
SHA256: 3b7585f4ba0a931be938fb576af2dafe89fdd4cc65f777febd1a5f47d9c5bc54

Nombre de archivo: badblock_unpacked.exe / Tamaño: 2.7 MB / VT
MD5: 1b2686add1662f31bf658116a67b46d0
SHA1: d55653c1240d20f1b1ef29efa669e721b7ceb595
SHA256: f58a3cca57107313fbb2eff231ebe52d74feabf0097e53343efd2a1f9ed97775

Nombre de archivo: badblock_2.exe / Tamaño: 755.5 KB / VT
MD5: 3d999327322f37d973bd241cd368ca77
SHA1: e6784135553aee26beb516fa1afe1872aaba54c6
SHA256: 4c2e3c02f02433d34ae4ecb472157123780cb4da954453ac5cbce9bf8bb9455b

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
BadBlock Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos