Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Gpcode - Win32/Ransom.CY
General

Este tipo de troyano cifra todos los archivos de la maquina infectada con el algoritmo RSA de modo que el equipo quede prácticamente inutilizable. Para descifrar los archivos se requiere del pago de 120$, y del envío de un número serial a una cuenta de correo especificada.

MD5: b14c45c1792038fd69b5c75e604242a3
SHA256: e9ffda70e3ab71ee9d165abec8f2c7c52a139b71666f209d2eaf0c704569d3b1
SHA1: 54ab323053f1138e5ccaa8f8afaa38cabca9491f
Tamaño: 10.5 KB ( 10752 bytes ) 
Nombre: 54ab323053f1138e5ccaa8f8afaa38cabca9491f
Tipo: Win32 EXE
Etiquetas: peexe upx 
Detecciones: 39 / 45 
Fecha de análisis: 2013-03-14 14:55:27 UTC

VT: https://www.virustotal.com/es/file/e9ffda70e3ab71ee9d165abec8f2c7c52a139b71666f209d2eaf0c704569d3b1/analysis/

 

Información del archivo en ejecución

Al ejecutar el troyano se modifica la imagen de fondo del escritorio de Windows donde se informa al usuario de la situación comprometida de la maquina y lo obliga a leer el archivo HOW TO DECRYPT FILES.txt

 

Al examinar el contenido del archivo txt se incita al usuario a pagar una suma de dinero (120$) enviando un código al correo datafinder(at)fastmail.fm

 

Al revisar el contenido de las carpetas se puede observar que todos los archivos fueron modificados.

 

Análisis del funcionamiento

Al revisar en detalle el troyano encontré que este está empaquetado con UPX

 

Al desempaquetar el archivo y revisar su funcionamiento con OllyDbg se encontraron algunas funciones interesantes

Se crea un mutex con el nombre ilold para evitar que se ejecute más de una vez en memoria

 

Posteriormente se ejecuta la función en la posición 0x00401000 la cual crea la llave RSA que será usada para cifrar los archivos

 

Se genera una llave con un cryptographic service provider (CSP): Microsoft Enhanced RSA and AES Cryptographic Provider.

En la siguiente función en la posición 0x00401271 se importa la llave creada en la función anterior y se cifra por medio de la función CryptEncrypt.

 

Quedando como resultado:

 

Ya habiendo creado la llave para cifrar los archivos procede a crear un Thread para buscar todos los archivos en todas las unidades de disco posibles en el equipo a través de un ciclo. En el caso del equipo de prueba solo existe una unidad C:

 

Una vez obtenida una unidad valida procede a buscar todos los archivos en todas las carpetas comparando al final que no sea el archivo HOW TO DECRYPT FILES.txt de modo que este pueda ser visualizado por el usuario victima.

 

Al encontrar un archivo entra en un ciclo el cual permite comparar la extensión del mismo con una lista predefinida de extensiones con el fin de determinar si modifica su contenido o no.

 

Cuando encuentra un archivo valido dentro de la lista de opciones procede a leer su contenido, en este caso el archivo de prueba se llama HOLA.txt con el contenido “este es mi archivo importante”

 

Seguido a esto, cifra los bytes leídos y sobrescribe los mismos bytes del archivo con los caracteres recién cifrados

 

Este proceso se realiza repetidamente hasta cifrar todo el contenido del archivo y todos los archivos del sistema.

 

Posteriormente continúa con la creación del archivo HOW TO DECRYPT FILES.txt y lo muestra en pantalla.

 

En el siguiente ciclo crea el serial que requiere sea enviado al correo para descifrar los archivos.

 

Enlaces


Trojan:Win32/Ransom.CY
TROJ_RANSOM.SMWQ

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos