Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano WinLocker / LokoMoT0
General

Este troyano es del tipo Ransomware, el cual bloquea la pantalla de la maquina infectada con un mensaje impidiendo cualquier tipo de interacción con el equipo, así mismo exige una cantidad de dinero (1000 o 2000 Rublos) para desbloquearlo, aunque como es habitual entre los creadores de este tipo de malware nunca se entrega un código de desbloqueo.

Archivo original: xxx_video.exe Ver strings
MD5: b2ab1390939563ddf0e916d0d81382c4
SHA256: ff0813f03b0d6cd834bf644dc8e2a89e8e8aba1d6e3145cee0800559886f915f
SHA1: 0adef55f8e9e2da27c5f1c0abdb739a0291ab0b5
Tamaño: 80.5 KB ( 82432 bytes ) 
Nombre: b2ab1390939563ddf0e916d0d81
Tipo: Win32 EXE

Archivo modeificado: decrypted_xxx_video.exe Ver strings
MD5: 0b7d4b4ef7ad0170d0619f0d1c301799
SHA256: 058c34e237c546024024a004bc31446d6bb6d2f62ef1a05dd024c282f490f251
SHA1: 2e94c7948f1b815363b6118bba8776a4e57f0aa1
Tamaño: 120.7 KB ( 123584 bytes ) 
Nombre: MEMORY.dll
Tipo: Win32 EXE

Al ejecutar el archivo se bloquea inmediatamente la pantalla del equipo con la siguiente imagen

 

Se observan caracteres al azar debido a que el idioma Ruso no está instalado como predeterminado, sin embargo el mensaje original es el siguiente (el número de teléfono es diferente ya que es otro archivo ejemplo):

 

Traducción:

"WINDOWS BLOQUEADO"
Su equipo está bloqueado para su visualización, copia y vídeo tirazhirovah-d-él contiene elementos pedofishsh y abuso Para desbloquear deberá pagar una multa de 1.000 rublos al número de teléfono Bila17d-1:
79672196580
La multa se puede pagar en cualquier pago termsh-hape para la comunicación móvil, salvo OPSH (kiwi)!
En el caso del pago de una multa o una cantidad igual al exceso de su recibo fiscal termsh-jalá código razblokirovyua se imprimirá. Hay que entró en el campo en la parte X hey shha ventana y pulse el u-hoglku "Razbloyuarovat". Después de retirar la blokirovyua debe quitar todo soderzhatslae elementos materiales de la violencia y sh pedofish. Si en el plazo de 12 horas, sin penalización pagar, todos los datos en su ordenador personal estará permanentemente eliminado. y el caso irá a juicio por el procedimiento previsto en el artículo 242 parte 1 del Código Penal.

 

Al analizar en detalle el funcionamiento del troyano se encontraron (como es lógico) funciones para pintar en pantalla, así mismo después de todo el proceso de creación y diseño del grafico que será mostrado al usuario victima encontré el uso de la función FindWindowA la cual es útil para obtener un handle a dicha ventana (ventana que por cierto toma el nombre de LokoMoT0, de donde proviene el diminutivo o alias del troyano)(1), posteriormente se cambian algunas propiedades de la ventana y se muestra al usuario (2).

 

Seguido a esto se crean varias llaves en el registro de Windows (3) en las rutas:

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

 

Y crea una nueva llave con nombre Shell para agregar la ruta del archivo

 

Así mismo a través de las funciones RegOpenKeyExA y RegSetValueExA abre crea una llave para iniciar la aplicación cada vez que inicie el equipo.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

En la última función en la posición 0x0041745C se puede identificar la modificación de las llaves en:

HKLM\System\CurrentControlSet\Control\SafeBoot

 

El paso (4) permite instalar un Hook para monitorear cierto tipo de eventos, para este caso el hook es del tipo WH_KEYBOARD lo cual le permite capturar todos los eventos del teclado e impedir el ingreso de comandos.

Como se puede ver el parámetro hModule apunta a la dirección 0x00400000 la cual contiene una copia en memoria del troyano el cual manejara los eventos.

 

Finalmente se ejecuta el comando para terminar el proceso explorer.exe en el paso (5) y así impedir que la victima de clic en otras ventanas u opciones.

 

La lista completa de los números telefónicos que el troyano insta a marcar:

 

Enlaces


Windows ???????????? Trojan.Winlock.6999 LokoMoTO
VirTool:Win32/CeeInject.gen!ID
Trojan:Win32/Loktrom.J

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos