Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware KozyJozy (.31392E30362E32303136_[ID-KEY]_LSBJ1)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos por medio del algoritmo RSA(2048) y agrega diferentes tipos de extensión a cada uno de ellos con el patrón: .31392E30362E32303136_[ID-KEY]_LSBJ1, para recuperar la información los usuarios afectados deben comunicarse vía email a la cuenta:

kozy.jozy@yahoo.com

Agradecimientos especiales al JaromirHorejsi (@JaromirHorejsi) por la identificación del ejemplar.

 

Análisis

Crea el archivo:
» w.jpg: Archivo creado en la misma carpeta en donde está ubicado el troyano.

Crea la siguiente llave de registro:
» HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wall


Controlando que no existan varias instancias del archivo en ejecución y ejecuta la función d() encargada de realizar las siguientes instrucciones:

» Define las llaves de cifrado RSA y las diferentes extensiones que serán adjuntadas al final de cada uno de los archivos.
» Selecciona de manera aleatoria una combinación de valores (llave RSA / extensión de archivo).
» Decodifica y almacena (por medio de la función c()) cada una de las extensiones objetivo.
» Decodifica (por medio de la función a) el nombre de archivo para la imagen que será presentada al usuario afectado: (231, 190, 250, 224, 247) XOR 144 = w.jpg, y la almacena en la misma ruta en la que se encuentra el troyano (esta imagen se puede encontrar dentro de la sección Resources del ejecutable).
» De la misma manera decodifica y crea la llave de registro: SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\wall encargada de ejecutar y mostrar la imagen w.jpg en cada inicio del sistema.

La imagen w.jpg permite informar al usuario de las modificaciones sufridas sobre la información del equipo mediante el siguiente texto:

ВАШИ ФАйлы ЗАШИФРОВАНЫ! с использованием очень стойкого алгоритма RSA-2048. Попытки восстановить файлы самостоятельно приведут лишь к их безвозвратной порче. Если же они вам нужны то отправьте один из пострадавших файлов на ящик

---

Your files are encrypted! using very resistant algorithm RSA-2048. Attempts to restore the files yourself will only lead to their irrevocable damage. If you need them then send one of the affected files on the box


La función c() adhiere a una lista cada uno de los diferentes tipos de archivo a modificar, esta información se encuentra codificada a través de la función XOR con llave 144.

Al final de su ejecución la lista definida como f almacenada todos los tipos de archivo objetivo como son:

.cd .ldf .mdf .max .dbf .epf .1cd .md .pdf .ppt .xls .doc .arj .tar .7z .rar .zip .tif .jpg .bmp .png .cdr .psd .jpeg .docx .xlsx .pptx .accdb .mdb .rtf .odt .ods .odb .odg


Valida la versión del sistema operativo con el fin de ejecutar una función encargada de decodificar las instrucciones y ejecutar el proceso vssadmin.exe; esto para eliminar todas las copias de los archivos almacenadas localmente en el equipo:

vssadmin.exe Delete Shadows /All /Quiet

Posteriormente busca todas las unidades de disco existentes y modifica todos los tipos de archivos almacenados en la lista (de este proceso se omiten la imagen y el archivo ejecutable del troyano) mediante el algoritmo RSA haciendo uso de la extensión (.31392E30362E32303136_16_LSBJ1) y llave RSA definidas al inicio de la ejecución.

 

Descarga

Nombre de archivo: kozyjozy.exe / Tamaño: 140.5 KB / VT
MD5: 5ea95420990735da4a14b07f0b0bf58a
SHA1: 5c16ab46c1beb9de061b07c3b15f777e2bd8f749
SHA256: 10ac209f3c67d0211b312709f9f079a27376dfa6beb758c41f1f0754ee34f987

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Kozy Jozy Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos