Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano LockScreen.OJ
General

La función de este troyano es hacer creer a las víctimas que sus archivos han sido cifrados obligándolos/incitándolos a pagar una cifra de € 100, cuando en realidad toda la información disponible en archivos y carpetas ha sido ocultada a través de métodos disponibles por el sistema operativo Windows.

SHA256: 3f2e78adb3be0e08c70d0cbc32c1eafb65a017b68465196ab109912e4e4f1ad2
SHA1: cc804e9e3f153063de7f3d75f5d50ee3526cc3b6
MD5: cc24000692dda9a89ec754327b04f982
File size: 361.0 KB ( 369664 bytes )
File name: formulaire.exe Strings
File type: Win32 EXE
Detection ratio: 36 / 57 VT

 

Análisis

 

» El archivo es descargado directamente desde el sitio Web benkerroum.be/formulaire.exe
» Al parecer fue desarrollado por "yassin" con el nombre cryptlocker.
» Valida si ya ha sido instalado previamente realizando la búsqueda del archivo svmachine.exe en la carpeta system.
» De no ser así copia el Administrador de tareas (taskmgr.exe) como svmachine.exe.
» Elimina el archivo taskmgr.exe del sistema y crea uno nuevo sin ningún tipo de contenido.
» Se copia y/o borra a sí mismo con el nombre de archivo "system.exe".
» Busca la información del usuario infectado (dirección IP/proveedor) por medio del sitio Web api.ipify.org
» Crea la llave de registro con el nombre "Adobe Updater" en la ruta SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run con el fin de ejecutar el proceso system.exe en cada inicio del sistema.


Toda la información es notificada y almacenada en una base de datos con nombres de tablas como:

Reports: Almacena los datos relacionados con las operaciones del troyano, nombre de máquina, fecha y hora, ruta y nombre del ejecutable y mensaje. Campos (Machine, date, Report).


InfectedUsers: Almacena los datos de las maquinas infectadas. Campos (ip, Name, date).

 


Data: Almacena los datos enviados por el cliente al momento de realizar el pago. Campos: (ip, Data, mail, date), si la respuesta del servidor es afirmativa (ok) emite el mensaje:
Votre Demande a ete envoyer Vous aller recevoir un email avec un code de decryptage ´dans les 24 h

De lo contrario:
Votre Demande n'a pas ete enoyer voulliez reesayer!


Finalmente realiza una modificación sobre todos las carpetas y archivos almacenados en cada una de las particiones del disco duro y les activa el atributo oculto (Hidden) de forma tal que estos no puedan ser visualizados por las víctimas.

 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Lockscreen.OJ Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos