General
La función de este troyano es hacer creer a las víctimas que sus archivos han sido cifrados obligándolos/incitándolos a pagar una cifra de € 100, cuando en realidad toda la información disponible en archivos y carpetas ha sido ocultada a través de métodos disponibles por el sistema operativo Windows.
SHA256: 3f2e78adb3be0e08c70d0cbc32c1eafb65a017b68465196ab109912e4e4f1ad2
SHA1: cc804e9e3f153063de7f3d75f5d50ee3526cc3b6
MD5: cc24000692dda9a89ec754327b04f982
File size: 361.0 KB ( 369664 bytes )
File name: formulaire.exe
File type: Win32 EXE
Detection ratio: 36 / 57
|
|
|
Análisis
|
|
» El archivo es descargado directamente desde el sitio Web benkerroum.be/formulaire.exe
» Al parecer fue desarrollado por "yassin" con el nombre cryptlocker.
» Valida si ya ha sido instalado previamente realizando la búsqueda del archivo svmachine.exe en la carpeta system.
» De no ser así copia el Administrador de tareas (taskmgr.exe) como svmachine.exe.
» Elimina el archivo taskmgr.exe del sistema y crea uno nuevo sin ningún tipo de contenido.
» Se copia y/o borra a sí mismo con el nombre de archivo "system.exe".
» Busca la información del usuario infectado (dirección IP/proveedor) por medio del sitio Web api.ipify.org
» Crea la llave de registro con el nombre "Adobe Updater" en la ruta SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run con el fin de ejecutar el proceso system.exe en cada inicio del sistema.
|
|
Toda la información es notificada y almacenada en una base de datos con nombres de tablas como:
Reports: Almacena los datos relacionados con las operaciones del troyano, nombre de máquina, fecha y hora, ruta y nombre del ejecutable y mensaje. Campos (Machine, date, Report).
|
|
InfectedUsers: Almacena los datos de las maquinas infectadas. Campos (ip, Name, date).
|
|
Data: Almacena los datos enviados por el cliente al momento de realizar el pago. Campos: (ip, Data, mail, date), si la respuesta del servidor es afirmativa (ok) emite el mensaje:
Votre Demande a ete envoyer Vous aller recevoir un email avec un code de decryptage ´dans les 24 h
De lo contrario:
Votre Demande n'a pas ete enoyer voulliez reesayer!
|
|
Finalmente realiza una modificación sobre todos las carpetas y archivos almacenados en cada una de las particiones del disco duro y les activa el atributo oculto (Hidden) de forma tal que estos no puedan ser visualizados por las víctimas.
|
|
|
Descarga
|
|
Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Mosh
@nyxbone
#MalwareMustDie
|
