Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Brazilian Ransom (.lock)
General

Troyano del tipo Ransomware que cifra el contenido de los archivos a través del algoritmo AES256 y requiere de un pago de 2000 reales (543.88 USD) para recuperar la información.

 

Análisis

Crea los archivos:

» text.txt - Este archivo es creado en la misma ruta desde donde fue ejecutado el troyano. » C:\Users\W7_MMD\win.txt
» C:\Users\W7_MMD\able.exe
» C:\Users\W7_MMD\ran.jpg
» C:\Users\W7_MMD\Desktop\MENSAGEM.txt


El troyano comienza su ejecución (de manera oculta, es decir que no es posible visualizar el proceso en el administrador de tareas de Windows) realizando una copia de sí mismo en la carpeta del usuario infectado con el nombre able.exe y generando el password que será utilizado para cifrar el contenido de los archivos, la longitud de dicha clave es de 15 caracteres alfanuméricos la cual a su vez es almacenada en los archivos text.txt (computerName + userName + password) y win.txt (password) respectivamente.


Define la ubicación (\\Desktop) y los diferentes tipos de archivo que serán cifrados por medio de la función EncryptFile (quizá se trate de una versión inicial ya que únicamente modifica el contenido de los archivos que se encuentran en el escritorio):

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd


EncryptFile

» Recibe como parámetros: Nombre del archivo y contraseña.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Finalmente agrega la extensión .lock

Una vez cifrada la información se crea el archivo que debe ser consultado por el usuario con el fin de realizar el pago a los atacantes: \\Desktop\\MENSAGEM.txt, el cual contiene 3 enlaces a páginas Web en donde se detalla la cuenta de correo electrónico: contato@vkcode.ru a la que se debe enviar una copia de la transacción efectuada en la cuenta BitCoin: 1CF6M1wV7B4MPR6yjWWhgaB9PsXoDwb3os

dpaste.com/0CNF9YV.txt
pastebin.com/raw/j9zCCu8n
pasted.co/2ded2650

Así mismo (como es usual en este tipo de amenazas) se adjunta un enlace donde se puede consultar como hacer uso y transferencias a billeteras BitCoin.

Una vez finalizado este proceso se elimina uno de los archivos que contiene el password (win.txt) y se procede a descargar la imagen (del repositorio de imágenes imgur.com: i.imgur.com/C8GWYiO.jpg) que será utilizada como fondo de escritorio (Wallpaper) de nombre ran.jpg y cuya finalidad es informar al usuario de las modificaciones sufridas.

 

Descarga

Nombre de archivo: Brazil-Ransomware.exe / Tamaño: 208.5 KB / VT
MD5: 0d578f7da321c6355f50f06059484acb
SHA1: fef6c212fc093c5840370826f47aa8e42197b568
SHA256: abfcaab8e584bb18eea79083d0813e843b6107b60ca656f89c684fa26d1d3ae9

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Brazil-Ransomware Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos