Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Anubis (.coded)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos por medio del algoritmo AES-256 (basado en EDA2 y HiddenTear), para recuperar la información requiere del pago de 2.5 a 3 Bitcoins (1.575 USD aprox!!!). La comunicación con los autores se realiza a través de correo electrónico por medio de las cuentas:

support.code@aol.com
support.code@india.com

 

Comportamiento


Su comportamiento es similar al de los demás Ransomware de este tipo:

» Notifica al servidor de comando y control de la nueva infección: 190.14.37.177 - Panamá Offshore Racks S.a / AS52469 Offshore Racks S.A, PA.

» Descarga una llave pública que es utilizada para proteger el password de cifrado.
» Crea el password de cifrado (que será utilizado para modificar los archivos) con 32 caracteres de longitud de forma aleatoria.
» Obtiene la información de todas las unidades de disco configuradas en la máquina.
» Modifica toda la información de los siguientes tipos de archivo y agrega a extensión .coded a cada uno de ellos:

*.3dm, *.3ds, *.3g2, *.3gp, *.602, *.aes, *.arc, *.asc, *.asf, *.asm, *.asp, *.avi, *.bak, *.bat, *.bmp, *.brd, *.cgm, *.cmd, *.cpp, *.crt, *.csr, *.csv, *.dbf, *.dch, *.dif, *.dip, *.djv, *.djvu, *.doc, *.docb, *.docm, *.docx, *.dot, *.dotm, *.dwg, *.dotx, *.exe, *.fla, *.flv, *.frm, *.gif, *.gpg, *.hwp, *.ibd, *.iso, *.jar, *.java, *.jpeg, *.jpg, *.key, *.lay, *.lay6, *.ldf, *.lnk, *.log, *.m3u, *.m4u, *.max, *.mdb, *.mdf, *.mid, *.mkv, *.mov, *.mp3, *.mp4, *.mpeg, *.mpg, *.ms11, *.myd, *.myi, *.nef, *.odb, *.odg, *.odp, *.ods, *.odt, *.otg, *.otp, *.ots, *.ott, *.p12, *.paq, *.pas, *.pdf, *.pem, *.php, *.png, *.pot, *.potm, *.potx, *.ppam, *.pps, *.ppsm, *.ppsx, *.ppt, *.pptm, *.pptx, *.psd, *.rar, *.raw, *.rtf, *.sch, *.sldm, *.sldx, *.slk, *.stc, *.std, *.sti, *.stw, *.svg, *.swf, *.sxc, *.sxd, *.sxi, *.sxm, *.sxw, *.sql, *.sqlitedb, *.tar, *.tbk, *.tgz, *.tif, *.tiff, *.txt, *.uop, *.uot, *.vbs, *.vdi, *.vmdk, *.vmx, *.vob, *.wav, *.wb2, *.wk1, *.wks, *.wma, *.wmv, *.xlc, *.xlm, *.xls, *.xlsb, *.xlsm, *.xlsx, *.xlt, *.xltm, *.xltx, *.xlw, *.zip, *.7z

» Descarga la imagen en la ruta: C:\Users\W7_MMD\ransom.jpg y modifica el fondo de pantalla (Wallpaper) con el fin de informar al usuario víctima de los cambios sufridos.
» Crea el archivo "Decryption Instructions" en el escritorio.

Al revisar el contenido del mensajes recibidos a través del correo electrónico se pueden identificar similitudes con los mensajes enviados por "gold man" (creador del Ransomware CrySiS) por lo que puede tratarse de una misma persona.

 

Descarga

Nombre de archivo: Anubis.exe / Tamaño: 114.5 KB / VT
MD5: 104d38009f6b36bab64b625735907c88
SHA1: b1ab8c664b4a9cfd1526bef88c45bd4b593b8197
SHA256: 8e830f6e21766182e6f9a938b4338fcb4e4b808c2e43dc1fa7c9548c52ca91f0

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Anubis Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos