Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Strictor (.locked)
General

Troyano del tipo Ransomware que cifra el contenido de todos los archivos encontrados en la carpeta Documentos a través del algoritmo AES-256 para recuperar la información requiere de un pago de 500 a 1000 UDS.

 

Análisis

Crea el archivo:

» C:\Users\W7_MMD\Documents\WindowsUpdate.locked

Realiza las siguientes modificaciones en el registro de Windows:

» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\ConsoleTracingMask
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableConsoleTracing
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableFileTracing
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileDirectory
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileTracingMask
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\MaxFileSize


» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\ConsoleTracingMask
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableConsoleTracing
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableFileTracing
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileDirectory
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileTracingMask
» HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\MaxFileSize


El troyano comienza su ejecución creando un password aleatorio de 10 dígitos con el cual cifrara (a través de la función FileEncryption) toda la información que encuentre en la carpeta de documentos del usuario, a diferencia de otros troyanos de esta clase no selecciona un tipo de archivo en particular por lo que afecta a todos los archivos que se encuentren en dicho directorio.


FileEncryption

» Recibe como parámetros: Nombre del archivo y contraseña.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Finalmente agrega la extensión .locked

Una vez ha cifrado los datos personales del usuario crea el archivo WindowsUpdate.locked el cual contiene un mensaje advirtiendo al usuario que ha perdido la posesión de sus archivos y que debe pagar cierta cantidad de Bitcoins para recuperarlos, irónicamente en la parte superior del mensaje se almacena el password con el que es cifrada toda la información.

Posteriormente envía un paquete HTTP (GET) al servidor de comando y control (C&C) ubicado en la dirección IP: 202.181.194.227 (Hong Kong - AS7540 HongKong Commercial Internet Exchange) adjuntando la información del equipo infectado a través de los parámetros DGCMP: Nombre de máquina, DGMAC: MAC de la tarjeta de red (este dato es obtenido por medio de la función macadd) y DGPASS: Contraseña con la cual fueron cifrados los archivos, como respuesta por parte del C2 se obtiene nuevamente la dirección MAC de la máquina.

Si no es posible realizar una conexión exitosa con el servidor C2 se muestran dos mensajes al usuario con los contenidos: Oopz!! URL not reachable y Oopz!! Are you trying to fool me? Connect me to the Internet ;). Este último mismo mensaje puede aparecer constantemente de no ser detectada una salida a Internet, esto debido a la implementación de las funciones TimerEventProcessor y PingTimeAverage que periódicamente envían paquetes ICMP Echo Request/Ping al servidor.

Finalmente el troyano (como es habitual) modifica el fondo de pantalla de la víctima informando al usuario del daño ocasionado sobre la información, cuando este da click en el botón "Pay" se realiza una nueva petición HTTP a una página Web ubicada en el mismo servidor C&C en la ruta /cryptowall/index.html, en este sitio Web (el cual utiliza plantillas estándar de Internet) es posible consultar toda la información de soporte, pago (billetera Bitcoin a la cual se debería hacer la transacción) y "descarga" de la clave y aplicación con la cual se podrán descifrar los archivos comprometidos.

Lamentablemente (para el usuario que ha realizado el pago) la respuesta por parte de los atacantes no es muy alentadora ya que las opciones Download Key y Download Tool no están diseñadas para ejecutar operación alguna regresando siempre el mismo mensaje: Invalid Verification Code.

 

Actualización: Mayo 17

A través de nuevos ejemplares de este tipo de Ransomware se detectó un nuevo servidor de comando y control en la dirección IP: 52.36.147.111 (United States - AS16509 AMAZON-02 - Amazon.com, Inc.), aunque la página principal no ha tenido ningún tipo de modificación existe sin embargo un archivo llamado peopletxt el cual permite identificar fácilmente las diferentes contraseñas para cada uno de los usuarios infectados.

La información de las víctimas es almacenada a través del script ransom.php usando los mismos parámetros utilizados en ejemplares anteriores:

hxxp://52.36.147.111/ransom/ransom.php?DGCMP={0}&DGMAC={1}&DGPASS={2}

Ruta del archivo peopletxt:

hxxp://52.36.147.111/ransom/peopletxt

 

Decryptor

Gracias a la labor desempeñada por Utku Sen y Michael Gillespie es posible recuperar toda la información modificada (cifrada) por este Ransomware, a través de las herramientas HT Decrypter y HT BruteForcer se pueden realizar tanto la búsqueda de la contraseña de cifrado (de estar almacenada en la maquina en archivos propios de configuración), como un proceso de fuerza bruta donde sea posible identificarla (por medio un archivo de prueba).

     

 

Descarga

Nombre de archivo: Bank_Account_Summary.pdf.exe / Tamaño: 4.6 MB / VT
MD5: 49d53752e33bc859c1a4cfa6eb2ce3cd
SHA1: d70199063ce435bfc59a5ffafe774b3c5e2efc1e
SHA256: 387429e2f35a0d358302f08c46fee0fe857596786f773cf654eef8c6d2b63583

Nombre de archivo: Strictor.exe / Tamaño: 4.6 MB / VT
MD5: 5a1694608ea909801e2fe51c04200658
SHA1: b6fc024c1f7e5423cdd123f8c72e93732f6c381f
SHA256: 94a8ffcf0580efdabca6d4c35b29eb5c342faa67ec7a31c5a77d2983960a9876

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Strictor Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos