Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Serpico (DetoxCrypto Variant)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos del usuario a través del algoritmo AES, para recuperar la información requiere de un pago de 50 Euros (55.94 USD).

Agradecimientos especiales a S!Ri (@siri_urz) por la identificación de este ejemplar.

 

Análisis

Crea los archivos:

» C:\Users\W7_MMD\Serpico\bg.jpg
» C:\Users\W7_MMD\Serpico\key.pkm
» C:\Users\W7_MMD\Serpico\Serpico.exe
» C:\Users\W7_MMD\Serpico\sound.wav
» C:\Users\W7_MMD\Serpico\total.pkm
» C:\Users\W7_MMD\Desktop\MotoxUnlocker.exe


Este tipo de Ransomware es una variante del ya identificado DetoxCrypto Ransomware (analizado en días anteriores por Bleeping Computer) el cual utilizaba imágenes del conocido juego PokemonGO para incitar a las personas a instalarlo, sin embargo esta versión parece enfocar su atención en Croacia debido al lenguaje utilizado en su imagen de bloqueo.


El troyano comienza su ejecución creando una carpeta oculta con el nombre "Serpico" dentro de la cual serán extraídos (de la sección Resources del ejecutable) los archivos requeridos por un segundo ejecutable con nombre TaskManager.exe. Dentro del código fuente es posible visualizar nombres de variables y funciones utilizadas en la versión previa: downloadPokemon, DownloadPok(), etc.

El segundo archivo extraído TaskManager.exe tiene como función:

» Genera un password aleatorio de 16 bytes de longitud.
» Envia toda la información del equipo (llave publica, nombre de usuario, nombre de máquina, sistema operativo, tipo de procesador y dirección MAC) al servidor de comando y control: http://serpico.netai.net/ con dirección IP: 23.23.73.170 (Virginia - Ashburn / AS14618 AMAZON-AES - Amazon.com, Inc.).

» Posteriormente determina los diferentes tipos de archivo a modificar:

*.bak, *.mdf, *.sql, *.cs, *.php, *.xls, *.doc, *.xlsx, *.docx, *.zip, *.rar, *.7z, *.tar.bz2, *.tar, *.cab, *.iso, *.dat, *.mdb, *.db, *.sqlite, *.csv, *.s3db, *.sqlitedb, *.dbf, *.myd, *.ibd, *.ibz, *.xlt, *.ppt, *.pptx, *.backup, *.3ds, *.pdf, *.eps, *.psd, *.psb, *.acbl, *.cdr, *.txt, *.xml, *.pst, *.jpg, *.jpeg, *.bmp, *.JPG, *.JPEG, *.BMP, *.cpr, *.all, *.rns, *.pptx, *.xltx, *.png, *.PNG, *.GIF, *.gif, *.dwg, *.der, *.crt, *.cer

» Cifra su contenido a través del algoritmo AES.
» Crea un archivo con nombre key.pkm: El cual almacena el valor de la llave pública creada previamente.
» Crea un archivo con nombre total.pkm: Identificador de control.
» Modifica el fondo de pantalla (Wallpaper) del equipo con la imagen extraída previamente: bg.jpg.
» Realiza una copia del archivo Serpico.exe al escritorio del usuario con el nombre: MotoxUnlocker.exe.
» Ejecuta Serpico.exe.

» Finalmente envía el resultado final de su ejecución al servidor C2.

El tercer archivo Serpico.exe tiene como función:

» Crear la interface gráfica que será visualizada por el usuario.
» Consulta el contenido de los archivos key.pkm y total.pkm.
» Reproduce el archivo de audio: sound.wav.


» Valida la llave digitada por el usuario con el fin de descifrar la información.

  

 

Descarga

Nombre de archivo: Document.exe / Tamaño: 3.7 MB / VT
MD5: 829f047ee3ff90e81ad056eb5ba4303c
SHA1: bca1008dec4e6a44dbd4cb6f0bff33e12eeb614f
SHA256: 3aa8bcbbe66a2fb5c3ee8279a571218069c585b0deade2ee7a9bde37f380573d

Nombre de archivo: TaskManager.exe / Tamaño: 189.5 KB / VT
MD5: 4894b7f57eb3d8ab03ae6207feb4835c
SHA1: 967dad918d32d42e0fed87d2b3e3548cf0263784
SHA256: 4a394e0ebbf9e134db054508b0a957f7c9d395abcf5b526cf48e95966a0670f0

Nombre de archivo: TaskManager-cleaned.exe / Tamaño: 181.5 KB / VT
MD5: 25dee31ffbde14c9bfc5d9b76e7f3793
SHA1: b06414a838a8f5987932722d39fe2d4e8d18058f
SHA256: 8be964173878a26ce1f0cf1d5dcbb7bc20a7ef0be9527a4f44eefe9a306d5bb4

Nombre de archivo: Serpico.exe / Tamaño: 830.0 KB / VT
MD5: 20791a1eb2b03a211f48e33ef39f97c6
SHA1: ae2059a80aca35715a58853b813364ed0c68d0ff
SHA256: 081de32f556559cbfbc37a41ad01773e7df7efdb177fcff5cd29b52ce9c11603

Nombre de archivo: Serpico-cleaned.exe / Tamaño: 825.0 KB / VT
MD5: c0be376cc6ad97b640b50386df2c86dd
SHA1: ef78184d9591924ac2c1044c764b1a62ce9b042f
SHA256: 01a9a57f1a1228159414c78644d7ab96517a8c0e97dac7b9db3d1fda6aeb9d0b

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Serpico Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos