Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Radamant
General

Versión 2.1 para el troyano del tipo Ransomware “Radamant”, busca y cifra todos los archivos del equipo renombrándolos con la extensión .RADAMANT

Nombre de archivo: directx.exe / Tamaño: 51.5 KB / VT
MD5: bd67001b41ca642020db454eb2596d90
SHA1: dda5bdb4ee1730168f3fc8f5ac0de5da66320366
SHA256: 49c841be013736e99fff3b5ef43aec697ceec8532cb4d3455a3d95af3fe44702

Nombre de archivo: zero.exe / Tamaño: 76.8 KB / VT
MD5: f1e70dbf9db3f2a74f399f3d985d8af8
SHA1: c42de4e2fb617b10b06eb7acdbd44865955592ef
SHA256: b80739946dfed4b6b8b7a6eb548cbf092fd226bcebd90ad4e2159bd3c825f9d5

Nombre de archivo: build.exe / Tamaño: 92.9 KB / VT
MD5: da0a320c87310888032ad37ad35173fd
SHA1: 31b310238f3a290d6ee52470268536019852ecc5
SHA256: e5e5ab14273251fda563f69735c12d36f9817fd526ef0dc46c233a52e657efaf

 

Se copia a sí mismo en la siguiente ruta y crea una llave en el registro del sistema operativo:

» C:\Users\W7_MMD\AppData\Roaming\DirectX.exe
» HKCU\Software\Microsoft\Windows\CurrentVersion\Run
» HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Creación del Mutex con el nombre radamantv2.1:


Crea y escribe “aaa.bat” con el fin de ejecutar los comandos para eliminar y detener el archivo y proceso actual.



 

Información de red


Realiza conexiones con el sitio Web checkip.dyndns.org para obtener la dirección IP origen del equipo infectado, seguido a esto registra el equipo en el servidor de comando y control (C&C) registrado en el dominio tangotangocash.com con la dirección IP 31.184.234.68


Si la maquina infectada pertenece a alguno de los siguientes países, se inicia un proceso automático para descifrar todos los archivos con extensión .RADAMANT:

[6:UA] » Ucrania
[6:RU] » Rusia
[6:KZ] » Kazajistán
[6:BY] » Bielorrusia


De lo contrario continua con el proceso habitual de comunicación con el C&C y cifra una gran cantidad de tipos de archivo.



 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Radamant Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos