Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware SNSLocker (.RSNSlocked)
General

Malware del tipo Ransomware que cifra el contenido de los archivos a través del algoritmo de cifrado AES(256) para recuperar la información requiere de un pago de 300 USD a una cuenta Bitcoin.

Muchas de las funciones de este troyano no funcionan adecuadamente además de ser requeridos varios componentes (MetroModernUI / Newtonsoft.Json) para poder visualizar su interface gráfica.

Agradecimientos especiales al equipo (Ransomware-Hunting) y a bluesoul [dot] me por el apoyo en la identificación y análisis de este ejemplar.

 

Análisis

Establece una conexión con el servidor de comando y control (5.9.82.18 / Alemania - AS24940 HETZNER-AS Hetzner Online GmbH) realizando el envío de toda la información de configuración de cada uno de los equipos infectados, como respuesta obtiene la llave publica con la cual protegerá el password alfanumérico de 32 caracteres de longitud, que será utilizado para cifrar el contenido de los archivos. Estos son algunos de los datos enviados a través del requerimiento HTTP:

» Nombre de usuario
» Nombre de maquina
» Dirección IP publica
» Dirección MAC
» Fecha

Una vez creado el password se definen los tipos de archivo que serán modificados:

.1pa, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .ai, .aif, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bik, .bmp , .c, .cal, .cdr, .cdt, .cdx, .cgn, .class, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .dat, .db, .dbf, .des, .des, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dwg, .dxf, .efx, .eps, .eps, .fim, .fla, .flv, .fmv, .fpx, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .gif, .h, .idml, .iff, .iif , .img, .indb, .indd, .indl, .indt, .ini, .inx, .iso, .jar, .java, .jpeg, .jpg", .js, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, .nd, .pat, .pcd, .pct, .pcx, .pdb, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prn, .prn, .prproj, .ps, .ps, .ps, .psd, .psp, .ptb, .py, .qba, .qbb, .qbi, .qbm, .qbo, .qbp, .qbr , .qbw, .qbx, .qby , .qpd, .qsm, .qss, .qst, .qwc, .ra, .rar .raw, .raw, .rb, .rif, .rtf, .rtp, .sct, .sdf, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .svg, .swf, .swf, .tga, .tif, .tiff, .tlg, .tlg, .ttf, .txt, .txt, .txt, .v30, .vcf, .vob, .vsd, .vsd, .wav, .wav, .webm, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .xqx, .zip

Cabe mencionar que si el tamaño del archivo es mayor al determinado por defecto se ejecutaran las funciones SizeSplit y SplitFileBasedOnSize encargadas de dividir el archivo en partes iguales bajo la extensión .RSplited

Una vez dividido el archivo (o si este no supera el tamaño límite definido anteriormente) se inicia el proceso de cifrado sobre cada uno de ellos con normalidad por medio de la función EncryptFile:

» Recibe como parámetros: Nombre del archivo y contraseña.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Agrega la extensión .RSNSlocked

Protege el password de cifrado (256) haciendo uso del algoritmo RSA (con la ayuda de la llave publica obtenida en pasos anteriores) y codificación Base64, posteriormente la envía de regreso al servidor a través de la función sendKey adjuntando nuevamente los datos del equipo.

Y finalmente se busca modificar el Wallpaper del equipo (las funciones relacionadas con esta operación NO son ejecutadas por el troyano sin embargo dentro del código fuente se detecta una variable llamada "backgroundImageUrl" que hace referencia a una imagen almacenada en imgur.com – http://i.imgur.com/VRJBpep.jpg)

Los derechos de autor estan a nombre de Saad Nabil Soufyane, autor de este troyano.


Al consultar el servidor de C&C: saad.eu5.org se puede identificar un sistema de autenticación el cual protege todos los datos de los diferentes "clientes" que han sido infectados por el Malware, esta información es almacenada en una tabla que contiene la siguiente estructura:

» ID de la victima
» Nombre de maquina
» Nombre de usuario
» Dirección IP publica
» Dirección MAC
» Fecha
» Llave privada, con la cual es posible descifrar el password que modifico los archivos
» Password cifrado y codificado
» Password en texto plano

Para realizar el pago, la aplicación crea un id de 8 caracteres de longitud cada vez que infecta una maquina (quizá como medida de control para manejar diferentes cuentas) y permite la consulta de un sitio Web encargado de informar la cuenta Bitcoin a la cual se debe realizar la transferencia: 159VHN2pP3r8nwqzo1ZYJvnhprRgpbbXQw

 

Descarga

Nombre de archivo: SNSLocker.exe / Tamaño: 635.0 KB / VT
MD5: c3cd8168f96e89998cab52b436c24b7d
SHA1: 3cbe96abba5269eb69093ebc07dd82e3091f0d3d
SHA256: 503b7d7a1348c3f03c789a5faca481bcd340e9be7cc602175fcbe513e864ffb8

Nombre de archivo: SNSLOcker2.exe / Tamaño: 796.0 KB / VT
MD5: 3a27b49845a3ae4671fa69c2051c2cb6
SHA1: 71caed58a603d1ab2a52d02e0822b1ab8f1a9095
SHA256: 597a14a76fc4d6315afa877ef87b68401de45d852e38f98c2f43986b4dca1c3a

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
SNSLocker Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos