Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware DEDCryptor (.ded)
General

Troyano del tipo Ransomware basado en EDA2, cifra el contenido de los archivos almacenados en el escritorio de sesión por medio del algoritmo AES(256) y protege la contraseña por medio de RSA. Para recuperar la información requiere de un pago de 2 bitcoins (1.490 USD).

Agradecimientos especiales al RansomwareHuntingTeam :)

 

Análisis

Crea el archivo:
» C:\Users\W7_MMD\Desktop\ded.png


Contiene un icono asociado a Kaspersky con la descripción "Kaspersky Lab".

Como todos los Ransomware de este tipo se genera una llave publica a través del función getPublicKey realizando una conexión con el servidor C2 ubicado en la red TOR (hxxps://tn6wr7y54lob7btx.onion.to/createkeys.php), la modificación a subrayar en este caso es el uso e implementación de un servidor Proxy local por medio de la clase Socks5Server que pertenece a la librería xNet (https://github.com/X-rus/xNet).

Posteriormente se crea el password aleatorio de cifrado con una longitud de 32 bytes, se define la ubicación (\\Desktop) y los diferentes tipos de archivo que serán cifrados por medio de la función EncryptFile (quizá se trate de una versión inicial ya que únicamente modifica el contenido de los archivos que se encuentran en el escritorio):

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .dll, .lnk, .pdf

EncryptFile

» Recibe como parámetros: Nombre del archivo y contraseña.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Finalmente agrega la extensión .ded

Posteriormente se protege el password de cifrado con la llave pública de 2048 bytes y se realiza el envío al servidor mediante la función sendKey (hxxps://tn6wr7y54lob7btx.onion.to/savekey.php), la cual también hace uso del proxy local:

Además de estas funciones (configuradas por defecto) se identificó el uso de la clase DarthEncrypt la cual puede dar un indicio que el autor pretende ofrecer la versión del Ransomware como servicio (RaaS), las siguientes son algunas de las cadenas de texto identificadas dentro de esta clase:

» The default decrypted file extension
» The default encrypted file extension
» The type of HASH you want to use to aid RijndaelManaged transformations
» The initialization vector to use (must be 16 chars)
» The secret pass phrase to use for encryption and decryption
» The Pass Phrase strength (5 high, 1 low)
» The salt value used to foil hackers attempting to crack the encryption
» Encrypt a string using your preferred encryption settings (pass phrase, salt value..)


Finalmente descarga la imagen de aviso del repositorio imgur (https://i.imgur.com/HDLAP55.jpg) y reemplaza el fondo de pantalla (Wallpaper) para informar al usuario de la infección.


A través del formulario principal del sitio Web es posible identificar al creador de esta versión: nolimit

Al contactar a dicho autor se establece la cuenta bitcoin a la cual se debe realizar la transferencia de dinero: 1DMqwrSLLFMBpoSWwAhfq1xwsCbvCdYx9d, además de la dirección de correo publicada en la imagen: dedcrypt@sigaint.org se identificó el uso de otras cuentas como:

mtsait@yandex.com
dedcrypt@gmail.com

Como método de presión sobre los usuarios infectados se envían nuevos mensajes amenazando con eliminar los archivos del equipo (lo cual no es posible con las características identificadas dentro del ejemplar):

 

Descarga

Nombre de archivo: dedcryptor.exe / Tamaño: 279.0 KB / VT
MD5: e18cc04f202ec6a4afa97cd2f9b175e6
SHA1: 0f30dc0240fc8026074c7ad45c5eafc82b4bd0d4
SHA256: 33a231f2c25b4794a92e038ac66a6d9bc53a1dda88f867e713ee099e220f8435

Nombre de archivo: dedcryptor2.exe / Tamaño: 264.0 KB / VT
MD5: 2f2c8547b4e3afd7a68dc734dc06dc2e
SHA1: a5ca6fece170dd2c14f094c0e5044f74f58a6933
SHA256: 529c7bf00b2046c4d2eaf5c67bfe3b79e30db327f678b5148a32d1d6bcebd6ec

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
DEDCryptor Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos