Análisis

Crea el archivo:
» C:\Users\W7_MMD\Desktop\ded.png


Contiene un icono asociado a Kaspersky con la descripción "Kaspersky Lab".

Como todos los Ransomware de este tipo se genera una llave publica a través del función getPublicKey realizando una conexión con el servidor C2 ubicado en la red TOR (hxxps://tn6wr7y54lob7btx.onion.to/createkeys.php), la modificación a subrayar en este caso es el uso e implementación de un servidor Proxy local por medio de la clase Socks5Server que pertenece a la librería xNet (https://github.com/X-rus/xNet).

Posteriormente se crea el password aleatorio de cifrado con una longitud de 32 bytes, se define la ubicación (\\Desktop) y los diferentes tipos de archivo que serán cifrados por medio de la función EncryptFile (quizá se trate de una versión inicial ya que únicamente modifica el contenido de los archivos que se encuentran en el escritorio):

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .dll, .lnk, .pdf

EncryptFile

» Recibe como parámetros: Nombre del archivo y contraseña.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados).
» Finalmente agrega la extensión .ded

Posteriormente se protege el password de cifrado con la llave pública de 2048 bytes y se realiza el envío al servidor mediante la función sendKey (hxxps://tn6wr7y54lob7btx.onion.to/savekey.php), la cual también hace uso del proxy local:

Además de estas funciones (configuradas por defecto) se identificó el uso de la clase DarthEncrypt la cual puede dar un indicio que el autor pretende ofrecer la versión del Ransomware como servicio (RaaS), las siguientes son algunas de las cadenas de texto identificadas dentro de esta clase:

» The default decrypted file extension
» The default encrypted file extension
» The type of HASH you want to use to aid RijndaelManaged transformations
» The initialization vector to use (must be 16 chars)
» The secret pass phrase to use for encryption and decryption
» The Pass Phrase strength (5 high, 1 low)
» The salt value used to foil hackers attempting to crack the encryption
» Encrypt a string using your preferred encryption settings (pass phrase, salt value..)


Finalmente descarga la imagen de aviso del repositorio imgur (https://i.imgur.com/HDLAP55.jpg) y reemplaza el fondo de pantalla (Wallpaper) para informar al usuario de la infección.


A través del formulario principal del sitio Web es posible identificar al creador de esta versión: nolimit

Al contactar a dicho autor se establece la cuenta bitcoin a la cual se debe realizar la transferencia de dinero: 1DMqwrSLLFMBpoSWwAhfq1xwsCbvCdYx9d, además de la dirección de correo publicada en la imagen: dedcrypt@sigaint.org se identificó el uso de otras cuentas como:

mtsait@yandex.com
dedcrypt@gmail.com

Como método de presión sobre los usuarios infectados se envían nuevos mensajes amenazando con eliminar los archivos del equipo (lo cual no es posible con las características identificadas dentro del ejemplar):

Descarga