Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware PokemonGO (.locked)
General

Troyano del tipo Ransomware (Basado en Hidden Tear) que cifra el contenido de los archivos a través del algoritmo AES(256). A diferencia de las demás amenazas de este tipo agrega opciones de red únicas como la creación de un usuario (Hack3r), una carpeta compartida y la posibilidad de infectar dispositivos externos. El autor puede ser contactado a través de los siguientes correos electrónicos:

blackhat20152015@gmail.com
me.blackhat20152015@mt2015.com

 

Análisis

Crea los archivos:

» C:\Users\W7_MMD\Desktop\pk
» C:\Users\W7_MMD\Desktop\هام جدا.txt - (Very important.txt)

Crea las siguientes llaves de registro

» HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PokemonGo
» HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Hack3r


Contiene un icono asociado a PokemonGo con la siguiente descripción:

El troyano comienza su ejecución creando un password de 15 bytes de longitud a través de la función estándar CreatePassword, sin embargo no genera un valor aleatorio de texto si no retorna la cadena: 123vivalalgerie la cual será utilizada para cifrar los archivos.

Una vez creado el password hace uso de la función addUser la cual como su nombre lo indica le permite crea la cuenta de usuario "Hack3r" con permisos de administración sobre la maquina:

Posteriormente hace uso de las siguientes funciones:

» KillAV: Función encargada de buscar y terminar el proceso con nombre: SMΔRTP.
» SendPassword: Función encargada de enviar la contraseña al servidor C&C (los dos ejemplares poseían la dirección IP: http://10.25.0.169/PokemonGo/write.php por lo que pueden tratarse de versiones de prueba) y crear el archivo pk.
» Populate: Función encargada de crear una copia del troyano en todas las unidades de disco existentes en el sistema, si identifica que alguna de ellas es extraíble procede con la creación del archivo Autorun.inf con el contenido necesario para que este sea ejecutado una vez la unidad sea insertada en un nuevo equipo.

[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe


» encryptDirectory y EncryptFile: Funciones encargadas de definir los diferentes tipos de archivo objetivo y cifrar su contenido a través del hash SHA256 del texto definido como password, al finalizar adhiere la extensión .locked a cada uno de ellos:

*.txt, *.rtf, *.doc, *.pdf, *.mht, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.odt, *.jpg, *.png, *.csv, *.sql, *.mdb, *.sln, *.php, *.asp, *.aspx, *.html, *.xml, *.psd, *.htm, *.gif, *.png

» encryptHDD: Función encargada escanear todas las unidades de disco del sistema y cifrar el contenido de los archivos objetivo ubicados en cada una de ellas.
» messageCreator: Función encargada de crear el archivo هام جدا.txt con el contenido que le informara al usuario de las modificaciones sufridas:

(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا


I've been to encrypt your files, decoding Falaksa Mobilis following address me.blackhat20152015@mt2015.com and thank you in advance for your generosity


» Registre: Función encargada de crear la llave de registro en el Run con el fin de que el programa se ejecute en cada inicio del sistema.
» CreateShare: Aunque esta función no es llamada por el método principal, tiene como objetivo habilitar y compartir la carpeta o directorio especificado, esto con el objetivo de que otras personas puedan descargar el troyano a través de una red LAN.

 

Descarga

Nombre de archivo: PokemonGO.exe / Tamaño: 623.0 KB / VT
MD5: 3a73d29d74e0930a508f368dc87ca333
SHA1: aee02b10a74c2fdd257d161fd8e03b37878a803f
SHA256: 73a7ab4dd80364a090bc41971d6ebe95a4451f9bbd8340dc07af4dc86071999c

Nombre de archivo: PokemonGo_2.exe / Tamaño: 623.5 KB / VT
MD5: a93b8e2d5292a52d6dbaa3b34c81beee
SHA1: 10a2a89542eccc52da2d44f182a45cbba1f9ed12
SHA256: df36e2aaae85f07851810a829e38a82827252fda15d4c4410da085d59ce38737

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
PokemonGO Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos