Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Ransom.FG / Harasom.A
General

Este troyano es del tipo ransomware, cifra y elimina todos los archivos (con una extensión específica) del sistema y bloquea la pantalla con una imagen para impedir el uso del mismo. Como todos los troyanos de este tipo requiere de una suma de dinero para descifrar la información.

SHA256: 8b70002e8911bfbe43e6acb54cfa27765f64fed1df0cf152e40549455a10b1e5
SHA1: cc1fed5339ca80fa44cfa599ba878dc80db7c384
MD5: 7956cefa23cb236399c9a94cfdf9ceae
Tamaño: 188.0 KB ( 192512 bytes )
Nombre: 7956CEFA23CB236399C9A94CFDF9CEAE.exe Ver strings
Tipo: Win32 EXE
Detecciones: 28 / 47
Fecha de análisis: 2013-06-28 VT

SHA256: a55883a54c0a35d29129165ff5899f111d5a9377118707d506894b353d12e9ad
SHA1: 89e742de30c5daba46daaef47fb7243124524a27
MD5: 22bf4c6a5b91dec3e2e843d082d237df
Tamaño: 66.5 KB ( 68096 bytes )
Nombre: unpacked.exe Ver strings
Tipo: Win32 EXE
Detecciones: 3 / 47
Fecha de análisis: 2013-06-28 VT

Fortinet W32/Harasom.A1!tr
Ikarus Trojan-Spy.Win32.Ranbyus
Symantec WS.Reputation.1

 

Información del archivo en ejecución

 

Al ejecutar el troyano se bloquea la pantalla y se exige el envío de un código de pago y una dirección de correo para recuperar los archivos, al enviar dicha información se obtiene una nueva imagen que permite el ingreso del password “enviado” de regreso por los atacantes.

 

 

Análisis

 

Se crean 3 llaves (Codac/Done/Step) en el registro de Windows en la ruta:

HKCU\Software\Microsoft\Multimedia\Video

 

Posteriormente se crea una carpeta con el nombre Video en la ruta C:\Documents and Settings\Administrador\Datos de programa, la cual servirá para almacenar las imágenes que serán desplegadas en pantalla al momento del bloqueo: pic1.jpg, pic2.jpg y pic3.jpg. Estas imágenes son descargadas desde la dirección IP: 192.95.60.221 con el nombre ENpic1.zip (2 y 3) y almacenada con el nombre pic1.jpg (2 y 3)

 

Después de descargar las imágenes se revisan cada una de las unidades de disco en el sistema en busca de cierto tipo de archivos, los cuales una vez encontrados son cifrados y eliminados del equipo.

Por medio de la función PathMatchSpecW se revisa la extensión del archivo analizado en ese momento, si concuerda con alguna de las extensiones de la lista se continua con el proceso de cifrado.

 

La lista de extensiones a buscar es la siguiente

 

Antes de cifrar el archivo se obtienen los datos del mismo (ruta y nombre) para crear un archivo nuevo pero con extensión .html este archivo es una réplica de la imagen que se muestra como bloqueo en la pantalla.

Como se puede ver en este caso la información para desbloquear el equipo es enviada al correo evilevilmaxsokolov@yahoo.com a través del servidor SMTP de Yahoo.

 

Seguido a esto se lee el contenido del archivo y se envía a la función que lo cifra, uno de los argumentos de dicha función es la llave encryptkey1111111111111111111111

 

Dentro de la función se puede ver como se manipulan: la llave nombrada anteriormente (1) y el contenido del archivo (2), en (3) el contenido del archivo es enviado a un buffer para manipular los datos, en el paso (4) se modifica la llave mediante funciones XOR (en este paso tengo algunas dudas, cualquier ayuda para aclarar dicha modificación es de gran aprecio) y posteriormente se entra al ciclo (5) que toma pedazos de 10 bytes del buffer que contiene la información y se envía a la función (6) la cual cifra el contenido con la ayuda de la llave modificada.

 

Finalmente se realizar 3 llamados a la función del API de Windows WriteFile para escribir la información en el archivo final .html.

 

Se elimina el archivo .txt original

 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Harasom.A

 

Mosh
@nyxbone

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos