Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Russian Ransom (.vault)
General

Troyano del tipo Ransomware que está dirigido principalmente a personas ubicadas en Rusia y sus alrededores (esta característica es muy particular ya que en su gran mayoría este tipo de amenazas omite esta región como punto de ataque para solicitar un rescate por la información cifrada), afirma que las bases de datos y documentos almacenados en el equipo han sido cifrados a través del algoritmo RSA y modificados con un tipo de extesion .vault.

Nombre de archivo: virus.js / Tamaño: 226.4 KB / VT
MD5: def40cbf64ef3cd307cb1b2baa79207b
SHA1: ae8af90e76249eceb807111e767e0d1c208ad179
SHA256: d8c81a32074727f1abb5a548b0fd26cb1b9f929891598a5fea6b848953f28d89

Nombre de archivo: 01.js / Tamaño: 188.5 KB / VT
MD5: 2c8b8cc09141f9fe028de01b02260c27
SHA1: 72916b7172326883ec73fd8200402ff39a8cbfe5
SHA256: 38eb81523ee973bb19c0389420570058e4cf7711c6e23c992ef94a723fff569e

Nombre de archivo: Счет-фактура от 28.02.2016. Реестр первичной документации. Составлено в 1С Бухгалтерия.js / Tamaño: 232.4 KB / VT
MD5: 8a0eec424453f3881b7212cd96e05e5c
SHA1: 2202e67edef30e6abcc78d4302dda9685df63225
SHA256: ac92ed1659a47a5873112a1d8ed0bcebdfd2945cd6fdcef8270aaf4b3350b8e0

Nombre de archivo: document_0117c8.docx / Tamaño: 22.0 KB / VT
MD5: d1e868e14eaab3145458bd17b80afed2
SHA1: 15f506f7ff546a96fabc6d4f292d9a0c55350e60
SHA256: c840f91d6fd337b75a95af13712acfcedaa40071f83b85b28bdc76615a16c619

Nombre de archivo: 3cc4b2d7f96.exe / Tamaño: 127.5 KB / VT
MD5: 00c9120b698f9a4477f4e34542f1953f
SHA1: 4748df9aa38272ced3d2d3ec4b27d93efefedfe6
SHA256: ca476e3d70319b55bad8ab7b8dc11bed5e31f46ca3f2610e8d8bf21fef836daa

Nombre de archivo: VAULT.hta / Tamaño: 14.8 KB / VT
MD5: f542dc74a06cd7f45a9d160c3f77f609
SHA1: ced136c80284ba0d6a90302b96b57f2dbddb8462
SHA256: fc88dfa0366a22ba39740a659e03e902dd4e5ce11872a07534b3fca202f1e202

 

Análisis

» Hace uso del proceso WScript.exe para ejecutar el archivo virus.js
» Ejecuta el proceso WINWORD.EXE con opciones para evitar errores al momento de abrir el documento: document_0117c8.docx
» Hace uso del proceso rundll32.exe para ejecutar la librería recién creada: 3cc4b2d7f96.txt con ciertos valores de inicialización.
» Ejecuta el proceso mshta.exe para abrir la aplicación HTML: VAULT.hta la cual permite visualizar la pantalla de bloqueo que informa al usuario que los archivos han sido cifrados.
» Hace uso del proceso WMIC.exe para eliminar todos los posibles backups almacenados en el equipo y eliminar (o no hacer visible) cualquier posible error generado:
cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Crea los siguientes archivos:

» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VAULT.KEY
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)


Una vez se inicia el proceso de cifrado se definen los diferentes tipos de archivo que deben ser modificados:

.1cd, .cd5, .cda, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .ctz, .dbf, .doc, .docm, .docx, .docxml, .docz, .dwg, .jpeg, .jpg, .jpg2, .mdb, .pdf, .psd, .psdx, .rtf, .sqlite, .sqlite3, .sqlitedb, .xls, .xlsm, .xlsx, .zip, .zipx

Realiza conexiones con dos dominios en Internet, la primera conexión se realiza con el servidor de comando y control (vaultcatch.com) donde se reporta la nueva infección de un equipo.

Posteriormente se descarga el browser de TOR (en idioma Ruso a través del dominio torsource.com).

Total de dominios contactados por el troyano: gracias a Ronan (@yenos) por esta información.

» vaultcatch.com
» x1wave1.com
» x1source.com
» x1gate.com
» vault2gate.com
» vault1gate.com
» dismissedgate.com
» torsource.com
94.102.50.50 - NETHERLANDS


Es posible evidenciar la cadena de eventos y procesos activados desde el momento en que se abrió el documento (.docx) hasta el momento en que se realiza la instalación y ejecución del browser de TOR.

Una vez que ha sido instalado el nuevo explorador/browser se realiza una conexión con un dominio en la darknet (333e45lpjqrebknr.onion) en donde se especifican claramente todas las instrucciones para realizar el pago exitoso del rescate de la información que ha sido cifrada.

Dicho sitio Web cuenta con cuatro 4 menús los cuales cumplen con las siguientes funciones:


1. Оллата - Procedimiento para realizar el pago:

» Medio de pago a través de Bitcoins a la cuenta 1F1UbG2Qd8A7o87r4D7nW6SZa5XHpA1n49.
» El monto a pagar es de 0.438 BTC o 165 UDS, aunque puede llegar a ser proporcional a la cantidad y tamaño de los archivos cifrados, aparentemente el rango de precios puede oscilar entre 100 a 900 USD.
» Opción para congelar el precio de una “oferta” donde se define el valor de 1 BTC en 376.5 USD. Esto debido a que en ocasiones existen problemas o demoras durante la transacción.
» Recomendaciones para realizar primero transacciones de dinero pequeñas antes de ejecutar el pago completo del rescate.
» Se brinda información de los diferentes métodos para realizar la transacción, ya sea a través de exchangers o exchange.
» Se asegura al usuario que recibirá la llave requerida una vez se ha efectuado el pago.
» En el enlace список о6менников se puede encontrar más información de cómo se puede realizar el pago de manera óptima.


2. Соо6щения – Mensajes:

» Opción de chat con los atacantes donde se inicia la conversión con el mensaje “Мы открыты к диалогу. Пишите - We are open to dialogue. Write” que traduce estamos abiertos al dialogo.
» Máximo de mensajes: 4.
» Horario de atención (Ра6оцее время – Work Time) de lunes a viernes de 8:00 a 23:30 y sábados y domingos de 9:00 a 22:00.


3. Волросы – Preguntas: El detalle de cada uno de los enlaces que se pueden ver en la imagen está disponible en idioma inglés y español.

» Preguntas principales.
» Garantías.
» Opciones de recuperación.
» Formas de Pago.
» Otras.


4. восстановление – Recuperación de archivos:

» Opción para cargar un máximo de 4 archivos que serán descifrados como evidencia de que el software funciona adecuadamente.
» Dichos archivos deben ser menores de 1Mb y deben tener una extensión .jpg, .jpeg, .doc, .xls, .docx, .xlsx o .pdf.

 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
russianRansom Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos