Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Hi Buddy!
General

Este troyano como todos los del tipo Ransomware cifra el contenido de diferentes tipos de archivo y requiere de un pago para su recuperación, esta versión en particular requiere de 0.77756467 Bitcoins (312.66 USD).

Nombre de archivo: t11.exe / Tamaño: 24.5 KB / VT
MD5: 50881c434db8730bfc5e67bccf573ec2
SHA1: 393c2a157d52301405d1594cbcb694c6d2931296
SHA256: 2c9599396f8267baa20e89bab33b323ae98497f855534a8b2a629af502539cfe

Nombre de archivo: ransom.exe / Tamaño: 24.5 KB / VT
MD5: d240132b0cb453d27af6fac59490af8a
SHA1: 9ef24129226036dd33523579b8d775fca2ad6f3f
SHA256: d7fea3a447e1a93dfa799b304737998b3b2b9db0dcbc9bf4b9de01b6803b19de

 

Análisis

Crea la ventana con nombre: Shell_TrayWnd


Consulta el país de ubicación de cada uno de los equipos infectados a través de la función GetCountry (http://api.hostip.info/country.php)


Crea las siguientes llaves de registro para ejecutarse en cada inicio del sistema:

» SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft


Realiza modificaciones en las características de configuración y seguridad del Sistema Operativo (codificadas en Base64) de forma tal que no sea posible escapar de la ventana de bloqueo:

» Oculta el proceso en ejecución del Administrador de tareas: base.ShowInTaskbar = false;
» Deshabilita la opción Ctrl+Alt+Spr: Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr = 1
» Busca la lista de procesos y termina el taskmgr


Captura la información del sistema a través de consultas al registro de Windows:

» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
» SOFTWARE\Microsoft\Cryptography\\MachineGuid
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion


Estos datos son almacenados en las siguientes variables:

» btc = Valor creado a partir de una expresión regular definida en el método Retrieve()
» hw_id = MachineGuid
» FriendlyName = ProductName + CSDVersion
» wid = hw_id:Country:Base64Encode(FriendlyName)


Posteriormente realiza la conexión con el servidor de C&C (haciendo uso de Tor2Web) anexando la información recopilada en el paso anterior:

24fkxhnr3cdtvwmy.onion.to/wrap1.php (+ los parámetros btc y wid)

Como respuesta por parte del servidor se obtiene el comando a ejecutar (FIRST o RECEIVED dependiendo de si se deben cifrar o descifrar los archivos) y el password requerido para dicho proceso.

ES NECESARIO MENCIONAR QUE SI EL TROYANO NO RECIBE NINGUNO DE ESTOS DOS TIPOS DE RESPUESTA; NO SE EJECUTAN LAS FUNCIONES ENCARGADAS DE CIFRAR/DESCIFRAR LA INFORMACION, POR LO TANTO A PESAR DE QUE SE MUESTRA LA VENTANA DE BLOQUEO DEL TROYANO NO SE EVIDENCIAN MODIFICACIONES EN LA INTEGRIDAD DE LOS ARCHIVOS DE LOS USUARIOS.

Una vez se inicia el proceso de cifrado se definen las carpetas destino (MyMusic, Desktop, MyPictures y Personal) y los diferentes tipos de archivo que deben ser modificados:

.mp3, .js, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .pdf


EncryptFile

- Recibe como parámetros: Nombre del archivo y contraseña.
- Valida que el archivo a cifrar no sea el que contiene las instrucciones para realizar el pago (READ_ME.txt) creado en todas las carpetas.
- Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
- Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
- Finalmente sobrescribe el archivo con los datos recibidos (cifrados) y agrega la extensión .cry

DecryptFile

- Recibe como parámetros: Nombre del archivo y contraseña.
- Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para descifrar los archivos.
- Hace uso del algoritmo de cifrado AES; enviando la información cifrada y almacenada en el archivo.
- Finalmente sobrescribe el archivo con los datos recibidos (descifrados) y elimina la extensión .cry

AES_Encrypt / AES_Decrypt:

El troyano espera alrededor de un minuto (1) antes de realizar nuevamente la validación con el servidor C&C para determinar si ya fue ejecutado el pago (respuesta RECEIVED) y recuperar así los archivos comprometidos.

La ventana de bloque permite interactuar con otros dominios desde los cuales los "clientes" pueden obtener información para la ejecución del pago:

» bitcoin.org/en/getting-started
» en.wikipedia.org/wiki/Bitcoin
» localbitcoins.com/
» www.bitboat.net
» www.coinbase.com
» coincafe.com/
» 24fkxhnr3cdtvwmy.onion.to/help.php"
» www.google.com

 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
HiBuddy! Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos