Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Domino (.domino)
General

Troyano del tipo Ransomware (Basado en Hidden Tear) que cifra el contenido de los archivos a través del algoritmo AES(256), para recuperar la información requiere de un pago de 1 Bitcoin (578.6 USD).

Agradecimientos especiales a Michael Gillespie (@demonslay335) y Daniel Gallagher (@DanielGallagher) por la identificación de este ejemplar.

 

Análisis

Crea los archivos:

» C:\Users\W7_MMD\AppData\Local\Temp\KMSpico_setup.exe
» C:\Users\W7_MMD\AppData\Local\Temp\31688EFBC3B9C99914A5BB7FB58AEC9E.exe
» C:\Users\W7_MMD\AppData\Local\Temp\help.exe
» C:\Users\W7_MMD\AppData\Local\Temp\HelloWorld.exe


El Ransomware se ejecuta a partir de la instalación del software KMSpico (Crack para Windows) el cual crea (por medio de un servicio KMSELDI) un archivo comprimido .zip que contiene dos nuevos archivos ejecutables:

help.exe
HelloWorld.exe

Estos nuevos archivos son ejecutados por medio del componente 31688EFBC3B9C99914A5BB7FB58AEC9E.exe:

El troyano una vez ejecutado tiene las mismas características y funciones que las identificadas en versiones anteriores:

» Determina los tipos de archivo objetivo (a modificar):

*.C, *.CLASS, *.CPP, *.CS, *.DTD, *.FLA, *.H, *.JAVA, *.LUA, *.M, *.PL, *.PY, *.SH, *.SLN, *.SWIFT, *.VB, *.VCXPROJ, *.XCODEPROJ, *.ASP, *.ASPX, *.CER, *.CFM, *.CSR, *.CSS, *.HTM, *.HTML, *.JS, *.JSP, *.PHP, *.RSS, *.XHTML, *.bak, *.7z, *.3fr, *.accdb, *.ai, *.apk, *.arch00, *.arw, *.asset, *.avi, *.bar, *.bay, *.bc6, *.bc7, *.big, *.bik, *.bkf, *.bkp, *.blob, *.bsa, *.cas, *.cdr, *.cer, *.cfr, *.cr2, *.crt, *.crw, *.css, *.csv, *.d3dbsp, *.das, *.DayZProfile, *.dazip, *.db0, *.dba, *.dbf, *.dbfv, *.dcr, *.der, *.desc, *.dmp, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxg, *.epk, *.eps, *.erf, *.esm, *.ff, *.flv, *.forge, *.fos, *.fpk, *.fsh, *.gdb, *.gho, *.hkdb, *.hkx, *.hplg, *.hvpl, *.ibank, *.icxs, *.indd, *.itdb, *.itl, *.itm, *.iwd, *.iwi, *.jpe, *.jpeg, *.jpg, *.js, *.kdb, *.kdc, *.kf, *.layout, *.lbf, *.litemod, *.lrf, *.ltx, *.lvl, *.m2, *.m3u, *.m4a, *.map, *.mcgame, *.mcmeta, *.mdb, *.mdbackup, *.mddata, *.mdf, *.mef, *.menu, *.mlx, *.mov, *.mp4, *.mpqge, *.mrwref, *.ncf, *.nrw, *.ntl, *.odb, *.odc, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pak, *.pdd, *.pdf, *.pef, *.pem, *.pfx, *.pkpass, *.png, *.ppt, *.pptm, *.pptx, *.psd, *.psk, *.pst, *.ptx, *.py, *.qdf, *.qic, *.r3d, *.raf, *.rar, *.raw, *.rb, *.re4, *.rgss3a, *.rim, *.rofl, *.rtf, *.rw2, *.rwl, *.sav, *.sb, *.sc2save, *.sid, *.sidd, *.sidn, *.sie, *.sis, *.slm, *.snx, *.sql, *.sr2, *.srf, *.srw, *.sum, *.svg, *.syncdb, *.t12, *.t13, *.tax, *.tor, *.txt, *.unity3d, *.upk, *.vcf, *.vdf, *.vfs0, *.vpk, *.vpp_pc, *.vtf, *.w3x, *.wb2, *.wma, *.wmo, *.wmv, *.wotreplay, *.wpd, *.wps, *.x3f, *.xf, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx, *.xxx, *.zip, *.ztmp, wallet, *.c, *.class, *.cpp, *.cs, *.dtd, *.fla, *.h, *.java, *.lua, *.m, *.pl, *.py, *.sh, *.sln, *.swift, *.vb, *.vcxproj, *.xcodeproj, *.asp, *.aspx, *.cer, *.cfm, *.csr, *.css, *.htm, *.html, *.js, *.jsp, *.php, *.rss, *.xhtml, *.BAK, *.7Z, *.3FR, *.ACCDB, *.AI, *.APK, *.ARCH00, *.ARW, *.ASSET, *.AVI, *.BAR, *.BAY, *.BC6, *.BC7, *.BIG, *.BIK, *.BKF, *.BKP, *.BLOB, *.BSA, *.CAS, *.CDR, *.CER, *.CFR, *.CR2, *.CRT, *.CRW, *.CSS, *.CSV, *.D3DBSP, *.DAS, *.dAYzpROFILE, *.DAZIP, *.DB0, *.DBA, *.DBF, *.DBFV, *.DCR, *.DER, *.DESC, *.DMP, *.DNG, *.DOC, *.DOCM, *.DOCX, *.DWG, *.DXG, *.EPK, *.EPS, *.ERF, *.ESM, *.FF, *.FLV, *.FORGE, *.FOS, *.FPK, *.FSH, *.GDB, *.GHO, *.HKDB, *.HKX, *.HPLG, *.HVPL, *.IBANK, *.ICXS, *.INDD, *.ITDB, *.ITL, *.ITM, *.IWD, *.IWI, *.JPE, *.JPEG, *.JPG, *.JS, *.KDB, *.KDC, *.KF, *.LAYOUT, *.LBF, *.LITEMOD, *.LRF, *.LTX, *.LVL, *.M2, *.M3U, *.M4A, *.MAP, *.MCGAME, *.MCMETA, *.MDB, *.MDBACKUP, *.MDDATA, *.MDF, *.MEF, *.MENU, *.MLX, *.MOV, *.MP4, *.MPQGE, *.MRWREF, *.NCF, *.NRW, *.NTL, *.ODB, *.ODC, *.ODM, *.ODP, *.ODS, *.ODT, *.ORF, *.P12, *.P7B, *.P7C, *.PAK, *.PDD, *.PDF, *.PEF, *.PEM, *.PFX, *.PKPASS, *.PNG, *.PPT, *.PPTM, *.PPTX, *.PSD, *.PSK, *.PST, *.PTX, *.PY, *.QDF, *.QIC, *.R3D, *.RAF, *.RAR, *.RAW, *.RB, *.RE4, *.RGSS3A, *.RIM, *.ROFL, *.RTF, *.RW2, *.RWL, *.SAV, *.SB, *.SC2SAVE, *.SID, *.SIDD, *.SIDN, *.SIE, *.SIS, *.SLM, *.SNX, *.SQL, *.SR2, *.SRF, *.SRW, *.SUM, *.SVG, *.SYNCDB, *.T12, *.T13, *.TAX, *.TOR, *.TXT, *.UNITY3D, *.UPK, *.VCF, *.VDF, *.VFS0, *.VPK, *.VPP_PC, *.VTF, *.W3X, *.WB2, *.WMA, *.WMO, *.WMV, *.WOTREPLAY, *.WPD, *.WPS, *.X3F, *.XF, *.XLK, *.XLS, *.XLSB, *.XLSM, *.XLSX, *.XXX, *.ZIP, *.ZTMP, WALLET

» Crea un password aleatorio de 15 caracteres de longitud.
» Se reporta con un servidor de comando y control (no disponible actualmente): http://hu-pe.pe.hu/ckvTrgIyWuXJkB0xgcqND1zUEyi2pb/gMGkwnn3OgnWtr1UtqOfsCIZpTrz2I/URTilo5HN3KYfjz49iTM/l.php
» Cifra el contenido de los archivos a través del algoritmo AES 256 y agrega la extensión .domino a cada uno de ellos.
» Cifra todos los archivos de las unidades conectadas al equipo exceptuando A:\\ y CDRom.
» Hace uso del proceso cmd.exe para eliminar las copias de seguridad por medio del comando: vssadmin delete shadows /all.
» Crea el archivo README_TO_RECURE_YOUR_FILES.txt encargado de informar al usuario de las modificaciones sufridas.

Finalmente ejecuta el segundo archivo HelloWorld.exe cuya finalidad es presentar la imagen de advertencia:

 

Descarga

Nombre de archivo: KMSpico_setup.exe / Tamaño: 3.2 MB / VT
MD5: d2288c956a41a07af1c08057dd002627
SHA1: c55af90403b74167d279e51ff2a5174b07f1c8df
SHA256: 39e7cad6a9df154c37d6fdb699f07a4e1dab7303a8be9deed759d7ce47e0b5e2

Nombre de archivo: 31688EFBC3B9C99914A5BB7FB58AEC9E.exe / Tamaño: 224.5 KB / VT
MD5: fadbd2fc54dee1f322405b028fc08c3f
SHA1: c48b67b901695d47b40d5ce9928bba850f4cd613
SHA256: 26835c30aedfd142ecd321242a133de9e1105fa11a30c35ca8113d54d15e37ad

Nombre de archivo: help.exe / Tamaño: 29.0 KB / VT
MD5: 78969407389fd3759f5400faf3be7ff3
SHA1: c78d6faf926b39a6e460f02441106d7ca1d19c48
SHA256: cac76c53c867ca0c91f040ee7f78b10a66470c3ed9b007f39aa19d2460a2ad46

Nombre de archivo: HelloWorld.exe / Tamaño: 13.5 KB / VT
MD5: 7616573083eb0745d850f99bda0cfa5c
SHA1: e8f278a691cf05b7fd82e8ba39563275d24534ee
SHA256: f81b6349eedb247eace0b4bcd5202203aa3294e46e4d8236f2c40ef2fce4cf72

Nombre de archivo: KMSpico_setup.exe / Tamaño: 3.0 MB / VT
MD5: 88b9fe947cda28e202dc252f2a008608
SHA1: 58c66b0735e5a11e2e055633476581bf09e8d9e1
SHA256: 9c875dacdf050020e1085c6f3a109d29d45a9cb7e960a803f9920af2a851f60b

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Domino Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos