Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano JobCrypter
General

Troyano del tipo Ransomware que ataca principalmente a personas en Francia, para regresar los archivos requiere de un pago de 300 Euros.

Nombre de archivo: FileLocker.exe / Tamaño: 465.5 KB / VT
MD5: a02aff753dffb13ad034ca67aed985d8
SHA1: f53cb550bc4d6193a42f8aa2ec348e8cc89728e9
SHA256: b47f15d1093fd6466e040d3ee786a18e25f8980d3db33465d2acbafe8b0f6850

Nombre de archivo: deobfuscated.exe / Tamaño: 294.5 KB / VT
MD5: 2ee9b110cd784d6bcdf663c9249ebee4
SHA1: 3d84dfd0f7dd95f26a9a47dd16149602bf8cfb56
SHA256: 459a487b0ad80fc56c06fca73eb80b3268bd423eaf6da5a1b400a7b5c19fb957

 

Análisis

Archivo ofuscado utilizando .NET Reactor 4.5+

Crea los archivos:

» Locker.exe
» Readme.txt
» Comment débloquer mes fichiers.txt


Crea las llaves de registro:

» HKEY_CURRENT_USER\\Software (PASSWORD)
» HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

Captura la información del sistema:

» Nombre de maquina
» Serial de la unidad C:

EncodeFile:

» Lee todos los caracteres del archivo y los codifica en base64
» Define el algoritmo de cifrado: TripleDES.
» La llave a utilizar para cifrar los archivos es el hash de los bytes que forman parte del password.
» Cifra los datos del archivo (codificados en Base64) y retorna su representación codificada en Base64 (nuevamente).
» Finalmente crea y escribe los nuevos datos a un nuevo archivo con la extensión ".locked".
» Elimina el archivo original.

DecodeFile:

- Lee todos los caracteres del archivo.
- Decodifica los datos (almacenados en Base64) y retorna los descifrados a través del algoritmo TripleDES.
- Decodifica nuevamente dichos caracteres y los escribe en un nuevo archivo eliminando la cadena de texto ".locked".
- Elimina el archivo cifrado.

tdsEncode / tdsDecode:

El password que utiliza para cifrar/descifrar los archivos está compuesto de 20 números creados de forma aleatoria, dicho valor es almacenado en el registro del sistema Operativo hasta que es enviado mediante correo electrónico, una vez esto sucede dicha llave es eliminada.

Envía un correo electrónico notificando la infección de un nuevo equipo "cliente" y hace el envío de la información recolectada.

Correo origen: bordeaux@sothis.fr
Correo destino: brangiersimonalain@gmail.com

Una vez es ingresado dicho número de serial (password) se inicia el proceso decodificar y descifrar nuevamente todos los archivos recuperando la información en su totalidad.

 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
JobCrypter Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos