Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Chinese Ransom
General

Troyano del tipo Ransomware que cifra el contenido de los archivos personales de las personas ubicadas en China, como era de esperarse los autores de este tipo de amenazas está expandiendo su campo de acción y personaliza y enfoca sus objetivos en países que manejan su propio idioma.

Agradecimientos especiales a Yonathan Klijnsma, Katja Hahn y Daniel por la identificación y análisis del comportamiento de este troyano.

 

Comportamiento

1. La ejecución del troyano está dividida en dos partes (como es habitual en este clase de Malware) un archivo encargado de cifrar la información y uno encargado de informar y recuperar los datos por medio del password obtenido una vez se ha realizado el pago, ambas partes crean el archivo "Help file decryption.txt" en el escritorio del sistema C:\Users\MMD\Desktop\文件解密帮助.txt el cual es utilizado para comunicar al usuario de las modificaciones sufridas y las instrucciones detalladas/requeridas con el fin de que este pueda recuperar sus archivos como se indica a continuación:

» Es requerido el uso del browser TOR para realizar conexiones anónimas a través de Internet.
» Detalle del sitio Web "eqlc75eumpb77ced.onion" encargado de generar e informar las contraseñas de cada cliente.
» Permite la descarga de la segunda parte del troyano "Decrypt.exe".
» Permite consultar el código de maquina generado para cada equipo.


Traducción del archivo:

"File decryption Help":

All your documents on your computer, photos, work files, private files and other important files have been encrypted. To decrypt these files, run the on desktop tools; if you do not have this tool on your desktop, go to the root directory of each partition to find; if you still can not find the tool, read this help content;

Only by strictly follow the steps later time, to decrypt your files; do not use antivirus software or other tools to try to recover any files because this will destroy or delete the encrypted file, causing the file never recover!

You must first download and install the "Tor Browser"; please Baidu search "Tor Browser Chinese version" find the download address, download and install; installation or download directly from the official website http://torproject.org; if you are the first time using this browser, you may also need to Baidu search for "using the Tor browser" Get related tutorial;

Since the Tor network has been blocked, you may also need to use an overseas VPN or configure a proxy server for foreign Tor browser; if you do not know how to do this, search for relevant information or seek professional help on the Internet;

At the confirmation has been connected to the Tor network premise Tor enter the URL in your browser to access this site: http://eqlc75eumpb77ced.onion/, if the site is temporarily unable to open, please try again later to continue;

If the decryption tool has been lost, you can re-download from a website; run decryption tool, make sure that the antivirus software is turned off;

Open the Web site, copy the following machine code to enter and submit, then follow the prompts websites; If successful, you will receive a unique key, which will be able to decrypt all your files;

The following is a Make sure your machine code: (complete copy)

RjAxNTAxMDBDNzM4MzgyRDA1MDAwMDAwQzE1OTA1RkNFMzg2ODQzREMwQTZEN0U1N0UyNkVDNjY5OUE1Q0UwOUYzNjc0MEYzN jJDNTM4RjVEQUZFNTIwNTNDNzNENjI0QjMyMzQwRTQyRDVERTg4MjM5NTdCQTU5ODRGREY1ODlDNzc0NkJDMzgyRkQ2Q0M3MUY2RUI2QU RCMTdERTlEQjY2MjczMjQzMjA4QTRGMzlBOTc0OUE4NkJCOTIzNzlDOUUyNjcxNzY1QTVGNTNFMEU3QzNDODc1ODM4OTlCMzE1MzkyRDQ xRDBGQTcyODIwMUNBQ0QzQTJCODZBODAwMA==


2. Al consultar el sitio Web eqlc75eumpb77ced.onion nombrado en el archivo de ayuda se pueden identificar imágenes y enlaces de apoyo para realizar un proceso de recuperación adecuado:

» Detalle de cómo obtener el código de maquina el cual debe ser enviado a este sitio Web.
» Detalle para hacer la transferencia de dinero a la cuenta Bitcoin.
» opciones de soporte en la compra de Bitcoins.
» Imágenes de ayuda.


Traducción de la ventana:

Bitcoin pay a fee can restore all encrypted files

Step one: Run the decryption tool to get the machine code and machine code submitted to the decryption site
Step two: buy a Bitcoin and pay to designate Bitcoin address
The third step: Bitcoin payment is completed, the site returned to decrypt [decryption] and input to the decryption box and decrypt all files

Can not find decryption tool? >> Click to re-download decryption tool >> (https://eqlc75eumpb77ced.onion.to/Decrypt.exe)
How to obtain the machine code? >> Click Get Encoding Tutorial >> (https://eqlc75eumpb77ced.onion.to/GetMKey.JPG)
How to buy Bitcoin? >> Click here to purchase Bitcoin tutorial >> (https://eqlc75eumpb77ced.onion.to/btc)
tutorials read? >> Click for Bitcoin artificial corporate website Customer Information >> (https://eqlc75eumpb77ced.onion.to/btc/help.html)
How to use a key to decrypt the file? >> Click decrypt Tutorial >> (https://eqlc75eumpb77ced.onion.to/DeFile.JPG)

Your machine code is the unique ID to identify the passage of this site. Please keep your machine code, I do not know how to get the machine code download and view the decryption tool and get the machine tutorials.


Enlace para obtener toda la información relacionada con la compra de Bitcoins en China.


Buy Bitcoins to the following four platforms. And withdrawals to decrypt the website to your bitcoin address Textbook do not, then through QQ, telephone contact the following four business website customer service

OKCoin (China) https://www.okcoin.cn/ Customer Service QQ: 800045125 Customer Service Tel: 400-660-9037
Fire currency net https://www.huobi.com/ Customer Service QQ: 4008558511 Customer Service Tel: 400-060-0888
China Bitcoin https://www.chbtc.com/ Customer Service QQ: 4006166611 Customer Service Tel: 400-616-6611
BTCC https://www.btcc.com/ Customer Service QQ: 4006643033 Customer Service Tel: 400-664-3033

TWS purchase process is Bitcoin

Registry Platform Account -> Phone Authentication -> recharge -> Buy Bitcoin -> Withdraw Bitcoins

As a step which does not understand and do not know how to operate. Please contact the above customer service QQ. Customer service calls. There are specialized personnel to teach you step by step

Note: To avoid later unsuccessful Do not buy Bitcoin uses to tell the customer service staff.


3. Una vez se ha enviado el código de maquina se define el número de cuenta Bitcoin a la cual se debe realizar la transferencia de dinero: 1NLdpM5LngukPGt8tG12LffVdAyQXbsDyB

Tip: Please pay to Bitcoin address shown below, click the view button result of payment after payment completion.


4. La siguiente interface gráfica permite consultar el estado de la transferencia, después de realizado el pago se generara una llave con la cual se podrá recuperar la información de los usuarios.

Tip: If you have to pay a specified Bitcoin address, but it appears as the result of payment "pay unfinished," Please wait a moment, Bitcoin payment network needs a little time to confirm arrival, wait click refresh page button to view the latest status.


El archivo Decrypt.exe que está disponible para la descarga en el sitio Web está protegido con el packer ASPack (version 2.12) y tiene como función:

» Buscar y listar los diferentes archivos cifrado en el equipo. (哪些文件已被加密?)
» Recuperar la información de algunos archivos aleatorios. (渔找式解密)
» Mostrar el contenido del archivo de ayuda Help file decryption.txt. (查看 ((文件解密帮助)))
» Descifrar y recuperar la información de todos los archivos modificados por el troyano. (解密全部文件)
» Informar al usuario de las modificaciones efectuadas en el equipo;

(你的所有文档照片工作文件,数据库以及其它重要文件都已经被加密只有本程序可以解密这些文件,不要尝使用杀毒软件或 者任何工具尝试恢复文件,否则你的所有文件将永远无法恢复! >>> All your work documents photo files, databases and other important files have been encrypted and only this program can decrypt the file, do not use antivirus software or taste any tools to try to recover a file, otherwise, all your files will never be recovered!)

Esta última opción muestra una nueva ventana que tiene como campo de entrada el password con el cual serán recuperados los archivos, además de repetir la información requerida para poder realizar el pago.

La siguiente imagen (obtenida gracias a la plataforma de análisis de Payload Security) permite visualizar la estructura del ejecutable y secciones donde fue empaquetado el archivo (entropía).

 

Descarga

Nombre de archivo: Decrypt.exe / Tamaño: 40.0 KB / VT
MD5: 963a943d9f6dffc7fc05cb138e9122c3
SHA1: 33db013b002edf6198b922df5fb3ef8d36a4952d
SHA256: 3f5a8cd18320b9d2d2a5668059c0e0e1214d5ec5b85fc07f20e8ddf77d6dc7b2

Nombre de archivo: Decrypt 2.exe / Tamaño: 40.1 KB / VT
MD5: d59a27b1e0a46cc185f1937ca42f300a
SHA1: 0efa5f6d6c419a43086a818a0a68fd67dcfe0ff6
SHA256: c5ee44a5c6ead154cf3b6f979d985c7ffa69f556ff65e2471c9ba39af49d6eac

Nombre de archivo: chinese_ransomware.exe / Tamaño: 116.5 KB / VT
MD5: 19d18ad30421a1386d8a600f53d331de
SHA1: 0d73ab927fb7490c42945bc836e8a53ddf0218b8
SHA256: 835f545c8bc48fb85aed1ea5608dc975195628755e54b3d8472a22adea6e4e28

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Chinese Ransomware Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos