Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Mircop (Lock.)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos ubicados en ciertas carpetas del sistema a través del algoritmo AES, al modificar la información adhiere la cadena de texto Lock. al inicio de cada uno de ellos. Para recuperar la información requiere del pago (en realidad del reembolso de un dinero supuestamente robado) de 48.48 Bitcoins (30.960 USD aprox) lo cual representa una cifra única, absurda e inapropiada comparándola con las demás amenazas de este tipo.

Agradecimientos especiales al S!Ri (@siri_urz) por la identificación del ejemplar.

 

Análisis

Desarrollado en Autoit v3.3.0.0

Crea los archivos:

Ransomware
» C:\Users\W7_MMD\AppData\Local\Temp\8x8x8
» C:\Users\W7_MMD\AppData\Local\Temp\x.exe
» C:\Users\W7_MMD\AppData\Local\Temp\wl.jpg

Stealer
» C:\Users\W7_MMD\AppData\Local\Temp\aut1.tmp
» C:\Users\W7_MMD\AppData\Local\Temp\Sqlite.dll
» C:\Users\W7_MMD\AppData\Local\Temp\PassW8.txt

Crea la siguientes llaves de registro:
» HKCU\Equipo\HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper


De acuerdo a TrendMicro este Ransomware se distribuye a través de mensajes SPAM los cuales contienen archivos adjuntos que permiten hacer uso de PowerShell para realizar la descarga del ejecutable (link). La descarga se realiza desde el sitio Web www.blushy.nl/u/ (82.192.86.199 / Noord-holland - Amsterdam / AS60781 LEASEWEB-NL Netherlands, NL) en donde existen actualmente los archivos File.hta y putty.bak (script de descarga y archivo ejecutable respectivamente)

Una vez descargado y ejecutado este archivo (dropper) se extraen dos nuevas amenazas en la ruta: C:\Users\Frank.FRANK-TH\Desktop\cyber\Bitmain fraud\ encargadas de capturar todas las contraseñas de los diferentes exploradores (browsers) instalados en la máquina y el Ransomware como tal.

El Ransomware comienza su ejecución escaneando ciertas carpetas del sistema (\Desktop, \Music, \Pictures, \Videos, \Documents, C:\Users\Public\Pictures y C:\Users\Public\Videos) con el fin de cifrar y modificar el contenido de todos los archivos presentes en las mismas a través de la función _crypt_encryptfile; una vez se ha alterado la integridad de la información procede con la creación de una copia de el mismo en la carpeta temporal (x.exe) y un enlace directo con el nombre MicroCop.lnk, finalmente entra en un ciclo encargado de crear una llave de registro y modificar el fondo de pantalla con el fin de informar al usuario de la modificación sufrida en sus archivos.

La función _crypt_encryptfile recibe como parámetros el nombre de los archivos origen y destino así como el password que será utilizado para cifrar la información "888" y un algoritmo de protección para la misma.

La función _crypt_startup es la encargada de identificar la versión del Sistema Operativo de la máquina y determinar el tipo de algoritmo de cifrado a utilizar de acuerdo a dicho valor.

Posteriormente se hace uso de la función _crypt_encryptdata (la cual hace un llamado a la función que forma parte del API de Windows CryptEncrypt) para modificar el contenido del archivo por medio de cualquiera de los algoritmos definidos anteriormente, si no se trata de una maquina con sistema operativo Windows 2000 (el cual ya es totalmente obsoleto) se maneja el valor por defecto AES. Para realizar el pago se identifica una cuenta Bitcoin: 3BGrRU4mhAkCFx1s3Z4yQLCbNg29wtBFj8 la cual no tiene (afortunadamente) registros de transacciones realizadas.

 

Decryptor

Gracias a la labor desempeñada por Michael Gillespie es posible recuperar toda la información modificada (cifrada) por este Ransomware, a través de la herramienta MirCopDecrypter se puede revertir el proceso para regresar a la normalidad todos los archivos del usuario afectado.

  

 

Descarga

Nombre de archivo: putty.exe / Tamaño: 1.3 MB / VT
MD5: 4dbe0b407d381b794d6e0c4dbe574c4e
SHA1: 95f8d1202c865c3fa04ced9409f83ee2755fdb28
SHA256: af84eda1d8264f2babf6d3771868eb2f7655d52b6d4e66675efd7e3a1101d9b0

Nombre de archivo: y.exe = x.exe / Tamaño: 472.3 KB / VT
MD5: 50eae30fd5bd7a0fbbaf64892bdda0bc
SHA1: 5009b0ab4efb7a69b04086945139c808e6ee15e1
SHA256: 8db2b2b1831544cb32ca7458a5820f7e722c3fa0d54ac09e1128e913572bcba6

Nombre de archivo: btc.exe / Tamaño: 563.3 KB / VT
MD5: 3eceedfa934c0ecfb4dffccc99ce7762
SHA1: 2083b11a5bf6cf125ff74828c1a58c10cc118e1b
SHA256: 05daaa17505f3d974c6e7595835ab8d576a1e46f1c44d7b4ccb9618633034ad7

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Mircop Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos