Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Turkish Ransom (.locked)
General

Troyano del tipo Ransomware basado en HiddenTear que cifra el contenido de los archivos a través del algoritmo AES(256) y adhiere la extensión .locked a cada uno de ellos. Para recuperar la información requiere del pago de 2 Bitcoins (1.308 USD).

Agradecimientos especiales a Jakub Kroustek (@JakubKroustek) por la identificación de este ejemplar.

 

Análisis

Crea los archivos:
» C:\Users\W7_MMD\.windowsServiceEngine
» C:\Users\W7_MMD\Desktop\DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html

Crea la siguiente llave de registro:
» SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServiceEngine


Ejecuta la función WindowsServiceEngine_Load la cual tiene como objetivo validar que el troyano halla hizo instalado previamente por medio de la llave de registro WindowsServiceEngine así mismo valida la existencia del archivo .windowsServiceEngine, de no ser así procede con su creación escribiendo únicamente el valor "1" como contenido, sete numero incrementara a medida en que sea ejecutado el troyano.


Posteriormente se ejecuta la función startAction() la cual contiene las instrucciones para crear el password de cifrado (CreatePassword()) el cual esta representado por una cadena de texto estática: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/:

Se definen los diferentes tipos de archivo objetivo y realiza la modificación de cada uno de ellos a través de la función EncryptFile.

.txt, .rar, .jpeg, .jpg, .pdf, .sql, .png, .accdb, .xls, .xlsx, .doc, .docx, .ppt, .pptx, .zip, .gz, .tar, .tib, .tmp, .frm, .dwg, .pst, .psd, .ai, .svg, .gif, .bak, .db

EncryptFile

» Recibe como parámetros: Nombre del archivo y contraseña.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Finalmente agrega la extensión .locked


Finalmente define el texto que será insertado en el archivo DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html por medio de la función messageCreator(), dentro de este archivo se hace referencia al correo electrónico michael.hensen@mail.com.tr con el fin de informar a los creadores cuando se halla efectuado la transacción.

Este archivo es creado en lenguaje Turco por lo que se entiende que es el primer Ransomware que tiene como objetivo este país:

UYARI

Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir

Bilgisayarınızda, ağ disklerinde ve USB belleklerde olan önemli dosyalarınız; fotoğraflar,videolar ve kişisel bilgiler Cryptolocker virüsü ile şifrelenmiştir. Bizim şifreleme çözme yazılımını satın almakdosyalarınızı kurtarmak için tek yoldur. Aksi takdirde, tüm dosyalarınızı ve harddiskinizi kaybedersiniz.

Dikkat:Cryptolocker virüs kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz.

• İlk olarak '19EYGvwUgPvBmo3gXH9JpXe2YiT4cDk8d7' bu bitcoin adresine 2 bitcoin yatırınız.
• Buradan bitcoin gönderimi yapabilirsiniz.
• Bitcoini gönderirken açıklama kısmına şirketinizin adını yazınız.
• Buradan bize mail yollayıp mailde de açıklamaya yazdığınız şirket adınızı yazınız. (Gmail üzerinden mail atınız diğer mail istemcileri kabul edilmeyecektir.)
• Yukarıdaki maddeler de özellikle açıklama kısımlarına dikkat ediniz aksi takdirde bitconin veya mailin sizden geldiğine emin olamayız.
• İkisininde açıklamasına yazdığınız değerler eşit olmalıdır. Bunlar bilgisayar tarafından kontrol edildiği için lütfen yazdıklarınızdan emin olunuz.

Bitcoin açıklamasına yazdığınız değer için örnek;

Özsüt Limited

Mail açıklamanızda Özsüt Limited geçmelidir. Örnek;

Özsüt Limited adına size ulaşıyorum lütfen CryptoLocker virüsünü kaldırmamız için gerekli programı yollarmısınız.
İstediğiniz miktar BitCoin adresinize yollanmıştır.

İyi çalışmalar.


Bu sayfa en iyi 1920x1080px çözünürlükte ve chrome veya mozilla üzerinde görünür. Lütfen Internet Explorer ile açmayı denemeyiniz. Eğer açtıysanız dosyalarınız bir kez daha şifrelenmiştir. Lütfen bizimle iletişime geçiniz.


----------
Traducción:
----------


WARNING

All your files are encrypted by cryptolocker virus

On your computer, your important files on the network drive and USB memory; photos, videos and personal information is encrypted with cryptolocker virus. Buy solving our encryption software is the only way to recover your almakdosya. Otherwise, you will lose all your files and hard.

Attention: cryptolocker does not provide access to encrypted files for virus removal.

• The first '19eygvwugpvbmo3gxh9jpxe2yit4cdk8d7' Lay's 2 this Bitcoin address Bitcoin.
• From here you can send in Bitcoin.
• Bitcoin sending the description of the type in the name of your company.
• Please enter your name companies that send out e-mail e-mail us here in the summer to explain. (Send mail through Gmail will not be accepted by other mail client.)
• Pay attention to the description above items, especially parts that otherwise can not be sure Bitcoin or e-mail came from you.
• The values ​​you write the description both of them should be equal. because they are controlled by computer, please make sure what you write.

For example the value typed in the description of Bitcoin;

Özsüt Limited

Mail your description must pass Özsüt Limited. Sample;

I'm writing to you on behalf of Özsüt Limited please yollarmıs necessary cryptolocker program to remove the virus.
the desired amount has been sent to your Bitcoin address.

Good work.

This page will appear on top in 1920x1080px resolution and chrome or mozilla. Please try to open Internet Explorer. If you have opened your file is encrypted once more. Please contact us.

 

Descarga

Nombre de archivo: ransom.exe / Tamaño: 115.5 KB / VT
MD5: be6ece0c36cd22e18cd00f1839f216a4
SHA1: 4a0613d858871d44484a338b46b09a6163d98ac2
SHA256: a34543a1a70531b406197e2c4cd5b96eaf4eff1527fb6378aa7ea32ccd1db1a5

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Turkish Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos