Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Mobef - Yakes
General

Troyano del tipo Ransomware que requiere del pago de 4 Bitcoins (1824,32 USD) para obtener el programa (decrypter) encargado de descifrar y recuperar la información del usuario, la comunicación con el creador puede establecerse por medio de los siguientes correos electrónicos: momsbestfriend@protonmail.com y torrenttracker@india.com o a través de la aplicación Bitmessage con el id: BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2

Agradecimientos especiales a S!Ri por su apoyo en la identificación de este ejemplar.

 

Comportamiento

Crea los archivos (dependiendo de la versión):

» 4-14-2016-INFECTION.TXT
» 19914482.txt
» 4142016000.KEY
» 4-15-2016-INFECTION.TXT: Informa al usuario de la infección y los medios de contacto con los autores, por si no es posible visualizar la pantalla principal o se reinicia la máquina.
» 2886098.txt: Contiene el detalle de los archivos que han sido cifrados.
» 4152016000.KEY: Posible password utilizado para el cifrado de la información (cifrado/codificado).

El día de hoy el equipo de MalwareHunterTeam identifico otro archivo con el nombre IMPORTANT.README que muestra otro diseño para el troyano en donde se requiere de una suma de 100 Bitcoins! (¿¿44.640??)



Hace uso de las siguientes llaves de registro que pueden indicar el uso de los algoritmos DES, RSA y AES para cifrar la información:

» HKEY_CLASSES_ROOT\interface\{587e8c22-9802-11d1-a0a4-00805fc147d3}
» HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
» HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider


Cifra el contenido de los siguientes tipos de archivo:

.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .hid, .idx, .ifx, .iso, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rpt, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sqllite, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip

Cabe mencionar que las extensiones de los archivos cifrados y las fechas de creación no son modificadas por lo que es difícil para el usuario identificar cual información se ha visto afectada.


Al establecer comunicación con los atacantes se define el costo/monto a pagar y los requerimientos para poder recuperar toda la información:


Así mismo durante este proceso se crean conexiones HTTP en donde se comunica la nueva infección por medio del dominio Web kentamplin.net ubicado en un servidor con dirección IP 192.185.16.132 (United States Texas - Carrollton / AS20013 CYRUSONE) haciendo uso de los siguientes parámetros:

» id: Identificación del troyano que cifro la información.
» cname: Nombre de la maquina infectada.
» arch: Parámetro desconocido, valor por defecto cero (0).
» srv: Parámetro desconocido, valor por defecto cero (0).
» ver: Versión del troyano.

Algunos de los requerimientos HTTP (GET) identificados son:

» kentamplin[.]net/wordpress/wp-includes/oops.php?id=2886098&cname=WIN-2BLJ62C0PRF&arch=0&srv=0&ver=6.1
» kentamplin[.]net/wordpress/wp-includes/informatica.php?id=786555&cname=WIN-2BLJ62C0PRF&arch=1&srv=0&ver=6.1
» kentamplin[.]net/wordpress/wp-includes/zook.php?id=610556&cname=WIN-2BLJ62C0PRF&arch=1&srv=0&ver=6.1
» kentamplin[.]net/wordpress/wp-includes/oopsies.php?id=47498208&cname=WIN-2BLJ62C0PRF&arch=1&srv=0&ver=6.1
» kentamplin[.]net/wordpress/wp-includes/mother.php?id=592700&cname=WIN-2BLJ62C0PRF&arch=0&srv=0&ver=5.1
» kentamplin[.]net/wordpress/wp-includes/knockerman.php?id=19914482&cname=WIN-2BLJ62C0PRF

El sitio Web parece "inactivo" desde septiembre de 2014, sin embargo ha sido ampliamente utilizado con propósitos maliciosos desde el 19 de Abril.

 

Descarga

Nombre de archivo: Cancel Autoplay 2.exe / Tamaño: 168.0 KB / VT
MD5: 116d442d8ec5c62f32c7ba507a5569be
SHA1: fb93796afa470d87deb316823d3cd6e8d8b18596
SHA256: ce98e9d9900609c45c948d34153c03b490bc2067e7a742048f60ed53fe95529d

Nombre de archivo: Cancel Autoplay 2.exe / Tamaño: 171.0 KB / VT
MD5: 87133ed5434dc2fedbababa51c82b4ec
SHA1: 4c4f1199c9134464ececb9bb9c9b9b9c51db3f71
SHA256: b994f24cf2f3b678fa488545cd4785954ad49df6ccefe02cf8d7114c075b230e

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Mobef Ransomware Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos