Análisis

Crea los archivos:

» C:\Users\W7_MMD\ransom.jpg
» C:\Users\W7_MMD\Desktop\WindowsUpdate.bat
» C:\Users\W7_MMD\Desktop\READ_IT.txt
» C:\Users\W7_MMD\Decrypter.exe


Ejecuta dos POST HTTP a la dirección IP: 23.227.199.175 (United States) enviando información detallada de la maquina infectada: nombre de usuario (username), nombre de maquina (pcname) y una llave estándar (servkey) para establecer la comunicación con el servidor:

/createkeys.php: Obtiene la llave RSA con la cual será cifrado el password.
/getamount.php: Obtiene información sobre la cantidad de dinero a pagar para recuperar los archivos: 0.500639

Hace uso de los metodos CreatePassword y GetInt para generar de manera aleatoria el password con el cual serán cifrados los archivos, la longitud de dicha llave es de 32 caracteres obtenidos a partir de la cadena abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890.

Hace uso de los metodos EncryptTextRSA y RSAENcrypt para cifrar el password (recién creado) a través del protocolo RSA; haciendo uso de la llave publica obtenida por medio del servidor C2 donde se define un tamaño final para dicha clave de 2048 bits.

Envía la información del password (cifrado a través del protocolo RSA) al servidor de C&C para su almacenamiento, el parámetro de envío tiene el nombre "aesencrypted" quizá como técnica para confundir a los analistas que estén monitoreando el tráfico de red.

/savekey.php
/update.php
/finished.php

Posteriormente ejecuta las funciones encargadas de seleccionar las diferentes unidades de disco (particiones) que serán escaneadas (C:\\, D:\\, E:\\, F:\\, G:\\, H:\\, I:\\, J:\\ y K:\\) en busca de los siguientes tipos de archivo:

.txt, .doc, .docx, .xls, .xlsx, .pdf, .pps, .ppt, .pptx, .odt, .gif, .jpg, .png, .db, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .frm, .myd, .myi, .dbf, .mp3, .mp4, .avi, .mov, .mpg, .rm, .wmv, .m4a, .mpa, .wav, .sav, .gam, .log, .ged, .msg, .myo, .tax, .ynab, .ifx, .ofx, .qfx, .qif, .qdf, .tax2013, .tax2014, .tax2015, .box, .ncf, .nsf, .ntf, .lwp

Exime del proceso de cifrado la carpeta C:\\Windows y asigna la extensión .mp4 a los archivos que no tienen un tipo definido.


EncryptFile

» Recibe como parámetros: Nombre del archivo y contraseña.
» Valida que el archivo a cifrar no finalice con las cadenas ransom.jpg y READ_IT.txt, esto con el fin de no inutilizar los archivos propios.
» Calcula el valor del hash SHA256 para el texto definido como password y lo establece como nueva contraseña para cifrar los archivos.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 256 bytes de longitud.
» Sobrescribe el archivo con los datos recibidos (cifrados) estableciendo nuevamente los mismos valores de modificación y acceso sobre cada uno de ellos.
» Finalmente agrega la extensión .locked

Una vez modificados los archivos objetivo se realiza la descarga del modulo "Decrypter.exe" el cual será utilizado para recuperar la información cifrada, este ejecutable se obtiene de un servidor con dirección IP: 23.227.199.83 (United States). Así mismo descarga y modifica la imagen del fondo de pantalla (wallpaper) desde el repositorio de imágenes imgur.com (i.imgur.com/By3yCwd.jpg).

Al revisar el contenido en dicho servidor Web es posible identificar otros tipos de Malware

El sitio Web let-me-help-you-with-that.webnode.com nombrado en el archivo READ_IT.txt es utilizado para realizar la entrega de los diferentes passwords a cada uno de los usuarios que han realizado el pago.

Finalmente cuendo se ejecuta el proceso Decrypter.exe con el password recibido por parte del atacante se modifica nuevamente el fondo de pantalla (wallpaper) descargando la imagen desde el repositorio: i.imgur.com/eROA81P.jpg.

Descarga