Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Virus-Encoder (.CrySiS)
General

Troyano del tipo ransomware que cifra todos los archivos con la extensión .CrySiS, como todas las amenazas de este tipo exige un pago de 2.5 a 3 BTC para regresar la información, reemplaza la imagen del fondo de escritorio (wallpaper) con un mensaje indicando las instrucciones para recuperar los datos, el modo de comunicación con el atacante se realiza a través de correo electrónico (no se evidencian conexiones con servidores C2 ni otra clase de paquetes de red) por medio de las siguientes cuentas:

dalailama2015@protonmail.ch - Desactivada al momento de realizar el análisis.
milarepa.lotos@aol.com - Desactivada al momento de realizar el análisis.
goldman0@india.com - Activa

Agradecimientos especiales a Malekal (@malekal_morte) por el ejemplar.
Más información: http://forum.malekal.com/fiche-ransomware-crysis-t54445.html

ULTIMA ACTUALIZACION: Junio 23 de 2016


 

Comportamiento

Crea un nombre (alias/mutex): Global\snc_Skanda


Crea los archivos:

» C:\Users\W7_MMD\Desktop\name.exe
» C:\Users\W7_MMD\AppData\Local\name.exe
» C:\Windows\System32\name.exe
» C:\Users\W7_MMD\Documents\wp.jpg
» C:\Users\W7_MMD\Desktop\How to decrypt your data.txt
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Crea las siguientes llaves de registro para ejecutarse en cada inicio del sistema:

» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop

Al revisar el detalle del archivo se identifica el uso de algoritmos de cifrado y/o codificación como RIJNDAEL y MD5.

A diferencia de otros troyanos de este tipo cifra TODOS los archivos que no formen parte del sistema operativo ni las rutas críticas para su funcionamiento, esto aumenta su nivel de criticidad debido a que asegura que no sea posible darle ningún tipo de uso al equipo infectado ya que modifica "incluso" tipos y extensiones de archivo que no existen.

En el correo electrónico recibido por parte del atacante (gold man) se indican las cuentas BitCoin a las cuales se deben efectuar los pagos y se menciona que la infección tuvo lugar debido a vulnerabilidades y fallas en la seguridad del sistema, que aunque muchas compañías de seguridad cobran extensas sumas de dinero por proteger los sistemas ellos en cambio están dispuestos a recibir únicamente una suma de 2.5 a 3 BTC (LOL!) :-D

Al momento de revisar dichas cuentas (wallets) se identifican 71 transacciones exitosas desde el año 2015 lo cual indica que muchos usuarios afectados han optado por efectuar el pago debido a la necesidad de recuperar su información.

 

Descarga

Nombre de archivo: Skanda.exe / Tamaño: 280 KB / VT
MD5: a3479defffa34695f449d0f851b60535
SHA1: fd131f8d61b57954a5906483baf43c92d76a80e7
SHA256: 4273abc3693a52e8f9a7c82a4aa177fc883a438a0f18d22c6a35afb80608f9ba

Nombre de archivo: Skanda1.exe / Tamaño: 152.0 KB / VT
MD5: 878d67c917f0252da2b36826af35f3a5
SHA1: 967f64064e6a50047eff5bcba9f107d646eb38b6
SHA256: 44116521dbb2e24af54a7cdbba0f96260e22f61f660c5d73370c54921bfb84fe

Nombre de archivo: Skanda2.exe / Tamaño: 174.0 KB / VT
MD5: 539788709b77d7450fe582b1f22b8d36
SHA1: 735c4342d7d094433e4d22426d61bf28ab7b78b4
SHA256: 2d7f6f22b47a220ccdabfd80f8fcf977359b989e3d104b72283a1284e2aaf78e

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Virus-Encoder Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos