Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware CryptoMix (.code)
General

Troyano del tipo Ransomware que cifra el contenido de muchos tipos de archivo y requiere de un pago de 5 Bitcoins (2.254 USD) para recuperar la información, la comunicación con el autor se realiza a través de correo electrónico y mensajes protegidos por contraseña. EMails identificados:

xoomx@dr.com
xoomx@usa.com


Cabe resaltar que este troyano copia y hace uso de algunos de los mensajes y nombres de archivo de utilizadas por otras amenazas de este tipo:

HELP_YOUR_FILES.html: CryptXXX
HELP_YOUR_FILES.txt: Cryptowall 3.0, 4.0


Agradecimientos especiales a S!Ri por su apoyo en la identificación de este ejemplar.

 

Comportamiento

Crea los archivos:

» HELP_YOUR_FILES.HTML: Archivo creado en todas las carpetas del sistema.
» HELP_YOUR_FILES.TXT: Archivo creado en todas las carpetas del sistema.
» C:\Users\pc\AppData\Roaming\AdobeFlashPlayer_4cef26603863.exe (AdobeFlashPlayer_(MACHINE_ID).exe): Copia del archivo original.

Utiliza y modifica las siguientes llaves de registro:

» HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
» HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
» HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader UpdateSoftWare
» HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Adobe Reader Update32
» HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AdobeFlashPlayerSoftWare
» HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*AdobeFlashPlayers32
» HKCU\Software\Adobe Reader LicensionSoftWare\AdobeFirstVersionSoftWare
» HKCU\Software\Adobe Reader LicensionSoftWare\AdobeLicensionSoftWare


Cifra el contenido de los siguientes tipos de archivo y agrega la extensión .code a cada uno de ellos haciendo uso del patrón: (NOMBRE_ARCHIVO.EXTENSION).id_(ID_MACHINE)_email_xoomx@dr.com_.code

.0, .1, .1st, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .4db, .73i, .7z, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af3, .aft, .afx, .agif, .agp, .ai, .aic, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .ar, .arc, .art, .artwork, .arw, .as, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asw, .asx, .asy, .at, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .ba, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bik, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .byu, .bz, .bza, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfg, .cfu, .cgm, .chart, .chord, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .cp, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .dat, .db, .db-shm, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dcs, .dct, .dcx, .dd, .ddl, .ddoc, .dds, .ded, .design, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djvu, .dm3, .dmo, .dmp, .dnc, .dne, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dts, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dxb, .dxf, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .err, .etf, .euc, .exr, .f, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi, .fic, .fid, .fif, .fig, .fil, .flac, .fli, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpt, .fpx, .ft7, .ft8, .ft9, .ftn, .fwdn, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gim, .gio, .gl, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hpp, .hs, .htm, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .igt, .igx, .ihx, .iiq, .imd, .indd, .info, .ink, .int, .ipx, .it, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jis, .jng, .joe, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .js, .jtx, .jxr, .kdb, .kdc, .kdi, .kdk, .key, .kic, .knt, .kon, .kpg, .kwd, .latex, .lay, .layout, .lbm, .lbt, .lgc, .lit, .ljp, .log, .ltr, .ltx, .lue, .lws, .lyt, .lyx, .m3d, .m3u, .m4v, .ma, .mac, .maf, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5, .mdb, .mdf, .mdn, .mdt, .me, .mft, .mgcb, .mgmx, .mgt, .min, .mkv, .mmat, .mng, .mnt, .mob, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .ocr, .odb, .odo, .ods, .odt, .of, .oft, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ow, .owc, .owg, .oyx, .oz, .ozb, .ozj, .p7s, .p96, .p97, .pages, .pal, .pano, .pap, .pas, .pbm, .pc3, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pf, .pfd, .pff, .pfs, .pfx, .pgf, .pgm, .phm, .php, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .pps, .ppt, .pptm, .pptx, .prw, .ps, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .pu, .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qvd, .r3d, .ra, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .readme, .rgb, .rib, .ris, .rl, .rle, .rli, .rm, .rp, .rpd, .rpt, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sav, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smi, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tar, .tb0, .tbn, .tcx, .tdf, .tdt, .teacher, .tex, .text, .tfc, .tg, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .to, .tp, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .uga, .unauth, .unity, .unx, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vb, .vbr, .vc, .vct, .vda, .vdb, .vec, .vml, .vnt, .vpd, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vw, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Ejemplo de un nombre de archivo modificado:

desert.jpg.id_4cef26603863_email_xoomx@dr.com_.code


Posteriormente envía la información de las rutas y diferentes archivos modificados a servidores de C&C ubicados en las direcciones IP: 93.170.169.180 y 46.8.45.174 (Ukraine Chop Pe Dunaeivskyi Denys Leonidovich / AS21100 ITLDC-NL ITL Company)

» 93.170.169.180/fs/
» 46.8.45.174/bobi/

Las diferentes claves de cifrado son enviadas y almacenadas a través del componente ola.php

La rutas son almacenadas y gestionadas por medio del componente d1.php con la siguiente estructura: /fs/l/d1.php?id=(ID_MAQUINA)&log=(PATH_TO_FILE), al revisar la lista de equipos infectados a la fecha (39) se detecta la primera víctima el día 24 de Abril.

Además de este servidor se realizan peticiones HTTP a las siguientes direcciones IP:

» 191.239.213.197
» 23.96.52.53
» 23.100.122.175
» 104.40.211.35
» 104.43.195.251


Al establecer comunicación con los creadores se identifica el uso de mensajes privados y protegidos por medio de contraseña como estrategia para proteger la cuenta Bitcoin a la cual se debe efectuar el pago.

El siguiente es el texto original enviado mediante el dominio onetimesecret.com:

------ INICIO ------


Dear User,

to decrypt your files You will need a special software with your special unique private key.

Price of software and your private key is 5 bitcoins. With this product you can decrypt all your files and protect Your system!!! Protect!!! Your system will be without any vulnerability.

Also You will have a FREE tech support for solving any PC troubles for 3 years!

You can buy bitcoins through this bitcoin web site https://localbitcoins.com/

Register there and find a nearest Bitcoin seller. It`s easy! Choose more comfortable payment method for buying Bitcoin!

After that You should send 5 bitcoins to the bitcoin wallet address:

1KWJ3rEvKs6z3suztfKv3zKAcqzQa3VVPh

All this process is very easy! It`s like a simple money transfer.

And now most important information:

Your money will be spent for the children charity. So that is mean that You will get a participation in this process too. Many children will receive presents and medical help!

And We trust that you are kind and honest person! Thank You very much! We wish You all the best! Your name will be in the main donors list and will stay in the charity history!

P.S> When your payment will be delivered you will receive your software with private key IMMEDIATELY!

P.P.S> In the next 24 hours your price will be doubled by the Main Server automatically. So now you have a chance to restore your PC with low price!

Best regards,

Charity Team


------ FIN ------


Como se puede apreciar el mensaje entregado al usuario representa en si un engaño y un acto total de cinismo al asegurar:

» Protección total para el equipo eliminando cualquier tipo de vulnerabilidad.
» Soporte GRATIS por 3 años para solucionar cualquier tipo de problema.
» EL DINERO TRANSFERIDO SERÁ UTILIZADO PARA REALIZAR OBRAS DE CARIDAD CON LOS NIÑOS POR MEDIO DE REGALOS Y AYUDA MÉDICA.
» El mensaje es firado como si proviniera de un equipo que realiza constantemente obras de caridad (¿¿¿¡¡¡CHARITY TEAM!!!???).

 

Descarga

Nombre de archivo: Backup Instruction.exe / Tamaño: 132.0 KB / VT
MD5: b778bda5b97228c6e362c9c4ae004a19
SHA1: e714ea0c13edd1969df1591c2b36111dab965123
SHA256: fa5f865e79dff49effac71846f8d8940e7e1ee295d041ba0f29a71d51cb112a2

Nombre de archivo: CTARX.exe / Tamaño: 100.0 KB / VT
MD5: a0fed8de59e6f6ce77da7788faef5489
SHA1: 96ebbf821f37dc2dcebc177fc3a6c17b3171aab3
SHA256: 004cdc6996225f244aef124edc72f90434a872b3d4fa56d5ebc2655473733aef

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
CryptoMix Ransomware Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos