Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Korean Ransom (.암호화됨)
General

Troyano del tipo Ransomware (Basado en Hidden Tear) que cifra el contenido de los archivos a través del algoritmo AES(256).

Agradecimientos especiales a Michael Gillespie (@demonslay335) por la identificación de este ejemplar.

 

Análisis

Crea los archivos:

» C:\Users\W7_MMD\Desktop\ReadMe.txt


El troyano comienza su ejecución creando una contraseña de 15 bytes de longitud a través de la funcion CreatePassword().

Selecciona los diferentes tipos de archivo objetivo (definidos como estándar para todas las versiones Hidden Tear): *.txt, *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.odt, *.jpg, *.png, *.csv, *.sql, *.mdb, *.hwp, *.pdf, *.php, *.asp, *.aspx, *.html, *.xml, *.psd

Y hace uso de la función EncryptFile para modificar el contenido de los archivos ubicados en el escritorio del sistema (\\Desktop):


EncryptFile

» Recibe como parámetros: Nombre del archivo y contraseña.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Finalmente agrega la extensión .암호화됨

Una vez modificados los datos del usuario procede con la creación del archivo ReadMe.txt; en el cual es insertado un mensaje de información y el PASSWORD de cifrado utilizado :-D

El mensaje está escrito en Coreano y tiene la siguiente traducción:

당신의 파일이 암호화 되었습니다.< PASSWORD >

Your files have been encrypted.< PASSWORD >

Posteriormente se crea la interface gráfica que será visualizada por las victimas en donde se informa el código de usuario para realizar el pago, este código está definido de forma estática dentro del código fuente de algunas de las versiones del troyano lo que puede representar una fase de pruebas dentro del desarrollo del mismo:

Servidor: 2dasasfwt225dfs5mom.onion

당신의 코드는: 1246C9FE1BD1FBE35D9E193A352970456975E4F905C7AF1103071BA700814231

Your code: 1246C9FE1BD1FBE35D9E193A352970456975E4F905C7AF1103071BA700814231

Y en otras versiones se hace uso de la función RandomHexString() la cual tiene como objetivo retorna dicha cadena de forma aleatoria:


Curiosamente uno de los servidores definido como medio de pago: t352fwt225ao5mom.onion, forma parte de los dominios utilizados por el Ransomware CrypMIC por lo que su interface Web es idéntica:

A decir verdad no es posible determinar si podría tratarse de una especie de intento de apoyo financiero a CrypMIC en Corea o simplemente la personalización de un Ransomware público por parte de un ciudadano de ese país.

Finalmente se elimina la copia del archivo ejecutable original a través del símbolo del sistema cmd.exe

 

Descarga

Nombre de archivo: Korean-HT.exe / KakaoTalk.exe / Tamaño: 1.2 MB / VT
MD5: 913031b8d460367501a8e84c4143d627
SHA1: f7a78789197db011b55f53b30d533eb4297d03cd
SHA256: 1ad95b74b1e10f41b4ac7d2ee96c74e99f237e1e5717d9e59273a81477d8c9b6

Nombre de archivo: Korean-HT2.exe / KakaoTalk.exe / Tamaño: 96.5 KB / VT
MD5: e9dd12f20b0359266e2e151f64231e50
SHA1: ab5dc6e44029dc56d0dd95b75c3db901b7fe629a
SHA256: 8997e8d0cdefde1dbd4d806056e8509dea42d3805f4ac77cff7021517ad1ba06

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Korean Ransom Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos