Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware RemindMe / Rush (.remind)
General

Troyano del tipo Ransomware (variante de Hidden Tear) que cifra los archivos del usuario a través del algoritmo AES(256) y requiere del pago de 2 bitcoins (1326 USD) para recuperar la información.

Agradecimientos especiales a Marc Rivero López (@Seifreed) por la identificación de este ejemplar.

 

Análisis

Crea el archivo: DECRYPT_YOUR_FILES.HTML


Define los tipos de archivo a cifrar:

.txt, .qbb, .pdf, .msg, .asmx, .rpt, .arw, .sldprt, .dwf, .doc, .adi, .adt, .docx, .altr, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, sln, .php, .asp, .aspx, .html, .xml, .psd

Y posteriormente modifica los datos de todos los archivos y carpetas almacenados en todas las unidades de disco presente en el sistema a través del método LockFile el cual tiene como función:

LockFile

» Recibe como parámetro el archivo a cifrar.
» Genera una longitud aleatoria para el password de cifrado (valor entre 30 y 50 caracteres).
» Genera de forma aleatoria los caracteres que formaran parte de dicho password.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Finalmente agrega la extensión .remind a cada uno de ellos.

Finalmente crea el archivo con el cual se informa al usuario víctima de la modificación realizada en cada uno de sus archivos:

Dentro del código fuente también es posible identificar una función con el nombre DelBack (la cual NO es utilizada en ningún momento) cuya tarea es crear un archivo con el nombre delback.bat encargado de eliminar todas las copias locales de los archivos por medio del comando: vssadmin delete shadows /all /quiet. Esto significa que por el momento es posible recuperar la información si se cuenta con copias de seguridad en el equipo.

 

Descarga

Nombre de archivo: RemindMe.exe / Tamaño: 13.0 KB / VT
MD5: 414bdcbd6359c5780c506ed229597ec3
SHA1: 9cadd2870133f5dfe96ff3ca39a9d5d5292c0c73
SHA256: ef7a5016984b87df617572cc5d579841b2c8e531ab7733fef4124d6fb3baaef3

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
RemindMe Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos