Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Crypren (.ENCRYPTED)
General

Troyano del tipo Ransomware que cifra la información del equipo agregado la extensión .ENCRYPTED a cada uno de los archivos, como es habitual requiere de un pago de 0.1 Bitcoins (45.06 USD) para recuperar los datos.

 

Comportamiento

Crea el archivo READ_THIS_TO_DECRYT.html en todas las carpetas del sistema, a través de este archivo informa al usuario de las modificaciones sufridas y adjunta la dirección Bitcoin a la cual se debe realizar la transferencia de dinero: 15F5FM7qMhLQ44RDxuozbKRwSbHKmq7N39, además de esto advierte que la clave de cifrado será eliminada una semana después de infectado el equipo por lo que el pago se debe efectuar en un periodo de tiempo menor, sin embargo esta apreciación no es cierta debido a que el programa no realiza modificaciones (Ej: Registro de Windows / inyección de procesos, etc.) con las cuales pueda llevar a cabo un control de esta índole.


Los botones "How to buy Bitcoins #1" y "How to buy Bitcoins #2" remiten a los usuarios a los siguientes enlaces (respectivamente) como apoyo para la compra y transferencia de Bitcoins.

How to buy Bitcoins #1
How to buy Bitcoins #2


Así mismo se identificó que este archivo es desplegado en cada inicio del sistema:

Y cifra el contenido de los siguientes tipos de archivo:

.accdb, .accde, .accdr, .accdt, .bmp, .cpp, .cs, .css, .csv, .csy, .doc, .docm, .docx, .docxml, .docz, .gif, .gzip, .html, .jpg, .jpg2, .mdb, .mp3, .mp4, .mp4infovid, .mp4v, .pdf, .php, .php3, .png, .ppt, .pptm, .pptx, .py, .rar, .rar5, .rb, .rtf, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .swfhtml, .tar, .targz, .targz2, .tarlzma, .tarxz, .txt, .xlmv, .xls, .xlsm, .xlsx, .xml, .zip, .zipx


Irónicamente (y a diferencia de la advertencia mencionada en el archivo READ_THIS_TO_DECRYT.html) la clave de cifrado es almacenada directamente en cada uno de los archivos modificados por lo que es posible recuperar la información sin necesidad de realizar el pago a sus creadores. Dicho password tiene una estructura alfanumérica y una longitud de 64 bytes, las siguientes imágenes permiten evidenciar este procedimiento en detalle:

Archivo original: Gabriel García Márquez - La profecía autocumplida.docx

Archivo cifrado: Gabriel García Márquez - La profecía autocumplida.docx.ENCRYPTED, es posible visualizar el password de cifrado: SkAMKVPtFsqtGHgFhgepCmrjQRwAgQLB@,*71728,.3!.?,#@30*;,,85@.+;0;0

A través de la herramienta DecryptCrypren creada por pekeinfo (disponible en https://github.com/pekeinfo/DecryptCrypren) es posible reversar el proceso de cifrado y obtener nuevamente el archivo original, una vez se ha identificado la contraseña solo es requerida una simple operación aritmética para obtener nuevamente cada uno de los caracteres, NO es necesaria ninguna llave privada y NO existe ningún servidor de comando y control (C&C) en donde se almacenen dichos valores.

Como resultado final se obtiene un nuevo archivo con la extensión .ENCRYTED.decrypt: Gabriel García Márquez - La profecía autocumplida.docx.ENCRYPTED.decrypt

 

Descarga

Nombre de archivo: Crypren.exe / Tamaño: 799.5 KB / VT
MD5: f6a8d7a4291c55020101d046371a8bda
SHA1: 09b08e04ee85b26ba5297cf3156653909671da90
SHA256: 082060e3320870d1d576083e0ee65c06a1104913ae866137f8ca45891c059a76

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Crypren Ransomware Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos