Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware SkidLocker (.locked)
General

Troyano del tipo Ransomware que cifra el contenido de diferentes tipos de archivo a través del algoritmo AES-256 para recuperar la información requiere de un pago de 0.500639 Bitcoins (208.50 USD).

 

Análisis

Crea los archivos:

» C:\Users\W7_MMD\ransom.jpg
» C:\Users\W7_MMD\Desktop\WindowsUpdate.bat
» C:\Users\W7_MMD\Desktop\READ_IT.txt
» C:\Users\W7_MMD\Decrypter.exe


Ejecuta dos POST HTTP a la dirección IP: 23.227.199.175 (United States) enviando información detallada de la maquina infectada: nombre de usuario (username), nombre de maquina (pcname) y una llave estándar (servkey) para establecer la comunicación con el servidor:

/createkeys.php: Obtiene la llave RSA con la cual será cifrado el password.
/getamount.php: Obtiene información sobre la cantidad de dinero a pagar para recuperar los archivos: 0.500639

Hace uso de los metodos CreatePassword y GetInt para generar de manera aleatoria el password con el cual serán cifrados los archivos, la longitud de dicha llave es de 32 caracteres obtenidos a partir de la cadena abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890.

Hace uso de los metodos EncryptTextRSA y RSAENcrypt para cifrar el password (recién creado) a través del protocolo RSA; haciendo uso de la llave publica obtenida por medio del servidor C2 donde se define un tamaño final para dicha clave de 2048 bits.

Envía la información del password (cifrado a través del protocolo RSA) al servidor de C&C para su almacenamiento, el parámetro de envío tiene el nombre "aesencrypted" quizá como técnica para confundir a los analistas que estén monitoreando el tráfico de red.

/savekey.php
/update.php
/finished.php

Posteriormente ejecuta las funciones encargadas de seleccionar las diferentes unidades de disco (particiones) que serán escaneadas (C:\\, D:\\, E:\\, F:\\, G:\\, H:\\, I:\\, J:\\ y K:\\) en busca de los siguientes tipos de archivo:

.txt, .doc, .docx, .xls, .xlsx, .pdf, .pps, .ppt, .pptx, .odt, .gif, .jpg, .png, .db, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .frm, .myd, .myi, .dbf, .mp3, .mp4, .avi, .mov, .mpg, .rm, .wmv, .m4a, .mpa, .wav, .sav, .gam, .log, .ged, .msg, .myo, .tax, .ynab, .ifx, .ofx, .qfx, .qif, .qdf, .tax2013, .tax2014, .tax2015, .box, .ncf, .nsf, .ntf, .lwp

Exime del proceso de cifrado la carpeta C:\\Windows y asigna la extensión .mp4 a los archivos que no tienen un tipo definido.


EncryptFile

» Recibe como parámetros: Nombre del archivo y contraseña.
» Valida que el archivo a cifrar no finalice con las cadenas ransom.jpg y READ_IT.txt, esto con el fin de no inutilizar los archivos propios.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados) estableciendo nuevamente los mismos valores de modificación y acceso sobre cada uno de ellos.
» Finalmente agrega la extensión .locked

Una vez modificados los archivos objetivo se realiza la descarga del modulo "Decrypter.exe" el cual será utilizado para recuperar la información cifrada, este ejecutable se obtiene de un servidor con dirección IP: 23.227.199.83 (United States). Así mismo descarga y modifica la imagen del fondo de pantalla (wallpaper) desde el repositorio de imágenes imgur.com (i.imgur.com/By3yCwd.jpg).

Al revisar el contenido en dicho servidor Web es posible identificar otros tipos de Malware

El sitio Web let-me-help-you-with-that.webnode.com nombrado en el archivo READ_IT.txt es utilizado para realizar la entrega de los diferentes passwords a cada uno de los usuarios que han realizado el pago.

Finalmente cuendo se ejecuta el proceso Decrypter.exe con el password recibido por parte del atacante se modifica nuevamente el fondo de pantalla (wallpaper) descargando la imagen desde el repositorio: i.imgur.com/eROA81P.jpg.

 

Descarga

Nombre de archivo: ransom.exe / Tamaño: 25.0 KB / VT
MD5: 6fc471eb0a2ea50d6a3b689855a68c0a
SHA1: a886411a5ab5f87732ab10ef098bad5bb305ec68
SHA256: 38cd5dc5601b401de1f53be12a1998e666c112ac62cc110dc1f1c91246a77817

Nombre de archivo: mm.exe / Tamaño: 25.0 KB / VT
MD5: 85a65cd0146355f1e3e42755e4feaeed
SHA1: 03c2243acb5d48bb57b8ed2ed617b8f3199c7711
SHA256: af4802e84b5575ef2ade1ef103739afb7352807884dbf1ce7b7c770d994465f7

Nombre de archivo: mm1.exe / Tamaño: 76.5 KB / VT
MD5: f578c991d6dbc426103c119f8c97e577
SHA1: d06761ae89328fc73436bf08491b27b5980254cc
SHA256: 6be813322ca2cfcd4a937a7087fb19d716c3e696d0f7ca442e67d5adb451aadc

Nombre de archivo: bb2old.exe / Tamaño: 247.5 KB / VT
MD5: 553c3faf060aaa2c083d66db468c1c70
SHA1: d8b09de3b0b4968d50ad2d4098d3a991c8c3373f
SHA256: f6a74ead6c58e939050580889017f2d5e4a646980509de79c4fb151722388ec1

Nombre de archivo: Decrypter.exe / Tamaño: 11.0 KB / VT
MD5: bb78607edb2aaed95747319bd61258a8
SHA1: 07efccb34829a338b6fa2a45af15a151e736acdf
SHA256: 9bcb2750326ba0880151f1f4ba524aae2915c54dbb75d949a8c35f95f80a253e

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
SkidLocker Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos