Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware BlackShades (.Silent)
General

Troyano del tipo Ransomware que cifra los archivos a través del algoritmo AES(256) y agrega la extensión .Silent a cada uno de ellos, para recuperar la información requiere del pago de 30 USD (0.0700 Bitcoins).

Agradecimientos especiales a Jack (@malwareforme), MalwareHunterTeam (@malwarehunterteam) y Lawrence Abrams (@BleepinComputer) por la identificación y apoyo en la creación de este post.

 

Análisis

Crea los archivos:

» Hacked.txt: Archivo creado en todas las carpetas.
» Hacked_Read_me_to_decrypt_files.Html: Archivo creado en todas las carpetas.
» C:\Users\W7_MMD\Desktop\YourID.txt
» C:\Users\W7_MMD\Desktop\Ваш идентификатор
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.exe

Modifica las siguientes llaves de registro:

» HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
» HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup\Generalize\DisableSR
» HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Algunas cadenas de texto codificadas dentro del código fuente:

» Hacked by Russian Hackers in Moscow Tverskaya Street
» youaresofartocrackMe
» вы не можете взломать меня я очень жесткий (you can not break me, I am very hard)
» YoxcnnotcrackthisAlgorithmynare>idiot<


El troyano comienza su ejecución realizando peticiones HTTP de prueba para identificar si existe salida a Internet en el sistema (www.google.com) de no ser así muestra una ventana de reporte:

Si el equipo está conectado a Internet elimina las copias de los archivos a través del comando: cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet e identifica el origen de la infección por medio del dominio: icanhazip.com, posteriormente realiza conexiones con el servidor de comando y control con dirección IP: 104.168.188.170 (United States Tulsa Hostwinds Llc. / AS54290 HOSTWINDS - Hostwinds LLC.) enviando información de la maquina a través de los parámetros:

» pass: Password por defecto para poder hacer uso de los objetos PHP.
» pc_name: Nombre de la máquina.
» pc_username: Nombre de usuario.
» ip_address: Dirección IP de la máquina.
» key_unlock: Password de cifrado protegida con una llave RSA.
» id_victim: ID de la infección.
» time_locked: Fecha de la máquina.
» total_files_locked: Cantidad de archivos modificados.

Define los diferentes tipos de archivo a modificar:

.vb, .cs, .c, .h, .html, .7z, .tar, .gz, .m4a, .wma, .aac, .csv, .rm, .txt, .text, .zip, .rar, .m, .ai, .cs, .db, .nd, .xlsx, .pl, .ps, .py, .3dm, .3ds, .3fr, .3g2, .ini, .xml, .jar, .lz, .mda, .log, .mpeg, .myo, .fon, .gif, .JNG, .jp2, .PC3, .PC2, .PC1, .PNS, .MP2, .AAC, .3gp, .ach, .arw, .asf, .asx, .avi, .bak, .bay, .mpg, .mpe, .swf, .PPJ, .cdr, .cer, .cpp, .cr2, .crt, .crw, .dbf, .dcr, .html, .xhtml, .mhtml, .asp, .dds, .der, .des, .dng, .doc, .dtd, .dwg, .dxf, .CSS, .rss, .jsp, .php, .dxg, .eml, .eps, .ert, .fla, .fla, .flv, .hpp, .docm, .docx, .flac, .iif, .ipe, .ipg, .kdc, .key, .lua, .m4v, .max, .xls, .yuv, .back, .mdb, .mdf, .mef, .mov, .mp3, .mp4, .mpg, .mrw, .x3f, .xlk, .xlr, .msg, .nef, .nk2, .nrw, .oab, .obi, .odb, .odc, .wmv, .wpd, .wps, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .vob, .wav, .wb2, .p7c, .pab, .pas, .pct, .pdb, .pdd, .pdf, .per, .sr2, .srf, .str, .ar, .bz2, .rz, .s7z, .apk, .zipx, .pem, .pfx, .pps, .ppt, .prf, .psd, .pst, .ptx, .rw2, .rwl, .sql, .3gp, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .raw, .rtf, .AVI, .indd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .jpg, .png, .ico, .JPG, .MP4, .MP4, .FLV, .MKV


Crea un password aleatorio basado en los siguientes valores:

» Valores por defecto de diferentes constantes.
» Fecha actual del sistema.
» Ruta donde está ubicado el troyano.
» Nombre de usuario.
» Fecha actual del sistema agregando el mes.

Y finalmente cifra el contenido de cada uno de ellos (ubicados en las rutas \Downloads, \Documents, \Pictures, \Music y \Videos) por medio del hash obtenido del password creado anteriormente y adjunta la extensión .Silent:

Para descargar el ejecutable encargado de descifrar los archivos se debe realizar la transferencia de dinero a la cuenta Bitcoin 14CcrhERkVWkJoiE15vqhwCG2cKNVENEXb o a través de PayPal:

 

Descarga

Nombre de archivo: SilentShade.exe / Tamaño: 210.5 KB / VT
MD5: 1764361e419a34085255429cb733296f
SHA1: 29928de4358f18d2d7de43dd42f698a2f3dd8ef8
SHA256: a70b0e07c130e781c5d7d03822b424e6d7c85de9837e74857be53b9d92650195

Nombre de archivo: SilentShade_Deofuscated.exe / Tamaño: 296.0 KB / VT
MD5: f029584a2c1c8adb0e63bc6b36577c67
SHA1: f56a1fb3bb7450332450dabae82ef9cc6eeb3337
SHA256: 26203f938a5ae0d5033a668a8f1936b67297d67cf71cb284ab5ae3fa8227f6c4

Nombre de archivo: ass.exe / Tamaño: 235.5 KB / VT
MD5: 45beca45fc84cfea06cfc50490a222ba
SHA1: e3f02f12054dca6b2683fddbf9fcf109e08a4b37
SHA256: fc2ad7ae3d6d4bd08d77443942ebb7fe219bace7c7beb8e837672da412baca11

Nombre de archivo: ass_Deofuscated.exe / Tamaño: 198.0 KB / VT
MD5: 9f1ed09921ed7acef257a0062905b5dc
SHA1: 23dd70a6310837b25edf106c0cc3491981399001
SHA256: 2c3694b0ecd9aa02b7bed558a83e08e6fd6ef049d61afbc8dbe61b0be785f234

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
BlackShades Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos