Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Razy (.fear)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos a través del algoritmo AES(128) y requiere del pago de 15 a 20 EUR para recuperar la información.

Agradecimientos especiales a MalwareHunterTeam (@malwrhunterteam ) por la identificación de este ejemplar.

 

Comportamiento


Este tipo de Ransomware ya había sido detectado previamente, sin embargo el equipo de MalwareHunterTeam identifico una versión que está enfocando su atención en Alemania personalizando completamente su interface gráfica y textos en alemán.

Respecto a la versión detectada anteriormente no existen cambios relevantes, las siguientes características permiten resumir su funcionalidad:

» Crea los archivos: WinOSHelp.exe y oldfilename.txt.
» Determina las carpetas del sistema a modificar: Desktop, Personal, MyPictures, MyMusic, MyVideos.
» Genera una llave aleatoria de 128 bits.
» Define los tipos de archivo a cifrar:

.exe .png .3dm .3g2 .3gp .aaf .accdb .aep .aepx .aet .ai .aif .arw .as .as3 .asf .asp .asx .avi .bay .bmp .cdr .cer .class .cpp .cr2 .crt .crw .cs .csv .db .dbf .dcr .der .dng .doc .docb .docm .docx .dot .dotm .dotx .dwg .dxf .dxg .efx .eps .erf .fla .flv .idml .iff .indb .indd .indl .indt .inx .jar .java .jpeg .jpg .kdc .m3u .m3u8 .m4u .max .mdb .mdf .mef .mid .mov .mp3 .mp4 .mpa .mpeg .mpg .mrw .msg .nef .nrw .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdb .pdf .pef .pem .pfx .php .plb .pmd .pot .potm .potx .ppam .ppj .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prproj .ps .psd .pst .ptx .r3d .ra .raf .rar .raw .rb .rtf .rw2 .rwl .sdf .sldm .sldx .sql .sr2 .srf .srw .svg .swf .tif .vcf .vob .wav .wb2 .wma .wmv .wpd .wps .x3f .xla .xlam .xlk .xll .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .zip

» Hace uso del algoritmo de cifrado AES.
» Crea un nuevo nombre de archivo de forma aleatoria.
» Agrega la extensión .fear.
» Elimina el archivo original.

Posteriormente genera las interfaces graficas que serán visualizadas por los usuarios:

Hallo! Ich bin Krypte! Eine Ransomware! Ich habe deine Dokumente,Musik,Bilder und andere Wichtige dateien mit einer AES Verschlüsselung Verschlüsselt. Wenn du deine Daten wiederhaben willst, dann Befolge Bitte diese Anweisungen :)
Kaufe eine 15-20 Euro Paysafe-Karte und gebe diesen Code in die Textbox Unten ein. Trage deine Email-Adresse in die Andere Textbox ein und drücke auf Weiter.
Wenn der Paysafekarten-code richtig sein sollte, Bekommst du an deine Email einen Key + Entfern und Entschlüsselungsprogramm. An deiner stelle würde ich kein Antivierenprogramm laufen lassen und nicht versuchen, diesen Virus zu entfernen. Dieses Programm ist deine einzige möglichkeit, deine Daten zurückzubekommen. Dein Private-Key wird nach 72h von unserem Server gelöscht. Viel Erfolg :)


Hello! I am crypt! A ransomware! I have your documents, music, pictures and other important files with an AES encryption Encrypts. If you want to again have your data, then Follow these instructions Please :)
Buy a 15-20 Euro Paysafe card and give this code in the text box below a. Fill in your email address in the Other text box and press Next. If the Paysafekarten code should be right, Do you get your email address to a Key + eliminator and decryption program. In your place I would run no anti Four program and do not try to remove this virus. This program is your only chance, to get back your data. Your private key is deleted after 72 hours from our server. I wish you success :)

Dieses Program ist deine einzige möglichkeit, deine Daten wiederzubekommen. Schließe das Programm nicht und befolge die Anweisungen.

This program is your only chance, retrieve your data. Do not close the program and follow the instructions.

Krypte
Bitte Trage deine Email und einen Paysafekarten-code ein.


crypt
Please wear a your email address to a Paysafekarten code.

Danke!
Danke! Falls der Pay-safe kartencode stimmt, bekommst du deinen Code in den nächsten 24h :)


Thank you!
Thank you! If the Paysafe cards code is correct, you get your code within the next 24 hours :)


ES IMPORTANTE MENCIONAR QUE NO SE DEBE REALIZAR NINGUN TIPO DE PAGO!, YA QUE AUNQUE ESTE SEA EFECTUADO LOS CREADORES NO TIENEN POSIBILIDAD DE DESCIFRAR LOS ARCHIVOS DEBIDO A QUE NO EXTEN UNA RELACION ENTRE “CLIENTE” Y PASSWORD DE DESCIFRADO.

 

Descarga

Nombre de archivo: krypte.bin / Tamaño: 26.0 KB / VT
MD5: cec624acdd8f96103e5ea92a9f0d12f4
SHA1: caec9bb10cdb664d56e789a73c6396f688e0a197
SHA256: 4525c0a8c34a72b6b0a7606417a3aa7ed3796e5f65ab6d3656f128ca48dd899d

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Razy (German) Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos