Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Sarento - RaaS (Ransomware as a Service)
General

Demo de un troyano del tipo Ransomware ofrecido como servicio (RaaS: Ransomware as a Service) donde es posible establecer una comunicación directa con su creador por medio de correo electronico: jeiphoos@sigaint.org con el fin de realizar la compra de este tipo de amenazas.

 

Características


Al igual que en versiones anteriores cifra los archivos sin modificar su extensión y crea una llave de registro (por lo menos la versión demo) para su ejecución en cada inicio del sistema:

» HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"valor aleatorio de 16 digitos": path\setup.exe /SkipReg




Encryptor RaaS Decryptor

Esta interface permite visualizar un posible diseño del tipo de página Web que será visitada por las personas infectadas con este troyano: 5jua3omslrbkks4c.onion.link / idxcgov7x3dl552g.onion.link

Precaucion / Warning:
» Pagina de demostración

Estadisticas / Statistics:
» Información relacionada con cada una de las posibles víctimas: número de archivos cifrados, dirección IP, proveedor del servicio y país de origen.

Pago / Payed:
» Enlace que permite la descarga del programa encargado de recuperar la información. Evidentemente esta opción solo es habilitada una vez se ha efectuado el pago del rescate.

Prueba de recuperación de la información / Free decryptions:
» Permite cargar archivos de un máximo de 2 MB con el fin de demostrar que es posible recuperar la información.

Instrucciones / Instructions:
» Información que detalla las instrucciones para que las personas pueden recuperar sus archivos.
» Se debe descargar la aplicación Electrum con el fin de generar una dirección Bitcoin propia a donde se cargara la suma a pagar.
» Se debe realizar la trasferencia de dicha cantidad a la dirección Bitcoin del comprador del troyano.

Chat:
» Funcionalidad que permite comunicarse con el comprador del troyano

Contacto / Contact:
» Información de contacto.




Encryptor RaaS Generator Interface

Esta interface permite conocer todos los detalles de la creación y modificaciones efectuadas sobre el troyano así como establecer una comunicación directa con el autor con el fin de realizar mejoras sobre el mismo: encryptor3awk6px.onion.link

Anuncios / Announcements:
» Información relacionada con la creación del troyano.
» Comunicación con los afiliados.

Información / Informations:
» Información relacionada con páginas de demostración para la comunicación con los "clientes".
» Requerimientos para la personalización de diferentes características del troyano.
» Costo del troyano personalizado: 419.09 USD.
» Información de la cantidad de víctimas a la fecha (excluyendo a las que han hecho uso del demo) y cuantas de ellas han efectuado el pago del rescate.
» FAQ.

Resumen Técnico / Technical summary:
» Información detallada de los métodos de cifrado utilizados sobre cada uno de los archivos.
» Información sobre las diferentes extensiones y tipos de archivos objetivo que serán modificados.
» Información detallada de las diferentes actualizaciones y modificaciones, los primeros cambios se realizaron a partir del 5 de febrero de 2016.
» Información sobre las características mínimas (Windows XP, i686) para su correcto funcionamiento.
» Información de cuando fue emitida la última versión (10 de abril de 2016).

Tasa de detección / Detection rates:
» Información sobre el tipo y la cantidad de antivirus que detectan la última versión emitida como amenaza.

Direccion Bitcoin / Please enter your bitcoin address:
» Evidencia de un posible pago a una dirección Bitcoin utilizada por los afiliados.

Retroalimentación / Feedback:
» Opciones para la retroalimentación de datos con el autor del troyano.

Contacto / Contact:
» Información de contacto.


Extensiones y tipos de archivo que son modificados/cifrados:

0, -0, 000, 001, 002, 003, 004, 005, 006, 007, 008, 009, 1, -1, 10, -10, 11, -11, 12, -12, 13, -13, 14, -14, 15, -15, 16, -16, 17, -17, 18, -18, 19, -19, 1pa, 2, -2, 2fs, 3, -3, 3dm, 3ds, 3g2, 3gp, 4, -4, 5, -5, 6, -6, 7, -7, 7z, 8, -8, 9, -9, aac, aaf, abbu, abw, accdb, adr, aep, aepx, aet, ahk, ai, aif, alt, ape, apk, arc, arv, as, as3, asc, asf, ashdisc, asm, asmx, asp, aspx, asx, aup, avi, ba0, backup, bak, bas, bbb, bc, bc!, bcmx, bdb, bde, bdf, bdg, bdi, bdk, bdl, bdm, bdmv, bdsproj, bdw, bdx, bee, ben, bes, bex, bexpk, bf, bf2, bfa, bfb, bfe, bff, bgz, bhx, bib, bibtex, bik, bkf, bkp, bks, bkup, bmp, bpl, bpn, bson, btd, bz2, c, c++, cad, cadp, caf, cal, cbu, cc, cda, cdf, cdi, cdr, cdt, cdx, cer, cert, cfc, cfg, cfm, cgi, cgn, chk, chr, class, clk, cmx, cnt, cod, conf, cpio, cpp, cpt, cpx, crd, crt, crypt7, cs, csl, csproj, csr, csv, cue, d64, data, db3, dbf, dbt, dbx, dcp, dds, ddz, del, dem, des, deviceids, df, dfd, dfproj, dia, dir, diz, dlc, dmg, doc, docb, docm, docx, dot, dotm, dotx, dqy, drw, ds4, dsb, dsf, dsn, dta, dtr, dtv, dwg, dxf, ebk, eddx, edoc, efx, elfo, eml, emlx, enc, eps, epub, es, es~, ex4, exp, fdb, fdf, ff1, ffa, ffl, ffo, ffs_db, fft, ffu, ffx, fh10, fh11, fi2, fig, fil, fim, fla, flac, flg, flp, flv, fmd, fmv, fpt, fpx, ftp, fx0, fx1, fxr, gam, gar, gbc, gcode, gem, gho, ghs, gid, gif, gla, gpg, gpx, gz, h, h++, hbk, hdd, hds, hex, hpp, hst, htc, hwp, hwp, ico, ics, idml, idx, if, iff, iif, imb, img, imh, iml, imm, in0, indb, indd, indl, indt, ini2, int, inx, ipd, iso, isz, iwa, j2k, jad, jar, java, jdb, jks, jmf, jp2, jpeg, jpf, jpg, jpm, jpx, json, jsp, jspa, jspx, jst, k1f, kb1, kcf, kch, kcl, kdb, kdbx, key, keynote, kml, kmz, knt, kpr, lbl, ld, ldif, lgb, lib, lic, lis, lpd, ls, ltx, lwp, lyc, lyt, lzma, m3u, m3u8, m4a, m4u, m4v, mab, mac, mar, max, mb, mbox, mcs, md2, mdb, mdbackup, mddata, mde, mdf, mdi, mdinfo, mds, mdw, mdx, met, mid, mke, mkv, mmf, mnu, mobileprovision, mod, mon, mov, mozeml, mp3, mp4, mpa, mpb, mpeg, mpg, mpj, mpp, mq4, mqh, ms, msf, msg, mso, mta, mts, mus, mx0, myd, myf, myi, nam, nap, nba, nbf, nbi, nbu, nbz, nco, nd, nes, net, new, nfo, nick, nng, note, nr, nrg, nri, nru, ns, nzb, oa4, oac, odb, odc, ods, odt, ogg, old, ops, opt, or4, org, otm, ott, ova, ovf, ovpn, oxps, p, p12, p2i, p65, p7, pages, pat, pbi, pcd, pct, pcx, pdf, pdfx, pehape, pem, pfb, pfq, pfx, pgp, php, php3, php4, php5, phps, phpx, phpxx, phtm, phtml, pic, pid, pins, pip, pk, pl, plb, plist, plt, pmd, pmk, pmx, pnf, png, pot, potm, potx, pp4, pp5, ppam, ppdf, ppf, ppj, pps, ppsm, ppsx, ppt, pptm, pptx, pref, prn, prproj, prt, ps, ps1, psd, psp, pspimage, pst, ptb, ptn, ptn2, pub, pvm, pwd, pwi, px, py, pym, qba, qbb, qbi, qbm, qbo, qbp, qbquery, qbr, qbw, qbx, qby, qcn, qcow, qcow2, qpd, qsm, qss, qst, qt, qwc, qxp, r0, ra, rar, raw, rb, rdp, recipients, recipientsbackup0, recipientsbackup1, recipientsbackup2, recipientsbackup3, recipientsbackup4, recipientsbackup5, recipientsbackup6, recipientsbackup7, recipientsbackup8, recipientsbackup9, repl, rif, riff, rm, rpb, rtf, rtp, s, sam, sav, sb, sbf, sct, scv, sdc, sdf, sdi, sds, sdx, sdy, secure, seed, sel, seq, ses, set, sfs, sfv, shlb, shs, shw, skb, skd, skp, sldm, sldx, slf, sln, slt, sme, smk, smm, smp, smr, sms, spb, spi, spro, sql, sqlite, sqlitedb, srp, srt, srv, ssc, ssi, sss, stf, stg, stl, stw, sub, suo, svg, swf, sxw, symbolmap, syncdb, tag, tar, tav, tb3, tc, tdl, tex, tga, thm, tib, tif, tiff, tlg, tlx, toast, torrent, tpl, ts, tv, tvc, txt, ucd, ufo, user, v30, val, vbk, vcard, vcd, vcf, vcs, vdi, vfs4, vhd, vhdx, vir, vmc, vmdk, vmx, vob, vsd, vsv, wab, wallet, war, wav, wbk, wbverify, wc, wdseml, webarchive, webm, whtt, wi, wim, win, wk3, wk4, wlt, wma, wmb, wmf, wmv, workflow, wpb, wpd, wpg, wps, wsb, xcf, xdw, xed, xg0, xg1, xg2, xla, xlam, xlg, xlk, xll, xlm, xlr, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xlw, xoml, xpm, xqx, xsn, xz, yg0, yg1, yg2, yuv, z, zip, zipx


FAQ:


Detalle de cada uno de los enlaces en la página:

Chat Example
Victims page template
* FAQ
Extensions
* Changes
GPG

 

Descarga

Nombre de archivo: setup.exe / Tamaño: 516.0 KB / VT
MD5: bd9f1a6522ed2714534d53d1ac198918
SHA1: 8787d7ed33272352e876f82c7a00aa85d8bf1c0e
SHA256: 98d74185d41a1b93bed0888e089c19899c35940f41181820e1b813a5e2fe83ac

Nombre de archivo: encryptor_raas_decryptor.exe / Tamaño: 198.5 KB / VT
MD5: e42e4b348e99b34713ec329265e8b514
SHA1: ee17c79c2818d73486bcd39be9165c4297bb60c8
SHA256: 55e4eee4c7ea0ca7f2658c576b4a360bd51a3fb42428d960169b5be3ff46bfbe

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
RaaS-Ransomware Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos