General
Versión 2.1 para el troyano del tipo Ransomware “Radamant”, busca y cifra todos los archivos del equipo renombrándolos con la extensión .RADAMANT
Nombre de archivo: directx.exe / Tamaño: 51.5 KB /
MD5: bd67001b41ca642020db454eb2596d90
SHA1: dda5bdb4ee1730168f3fc8f5ac0de5da66320366
SHA256: 49c841be013736e99fff3b5ef43aec697ceec8532cb4d3455a3d95af3fe44702
Nombre de archivo: zero.exe / Tamaño: 76.8 KB /
MD5: f1e70dbf9db3f2a74f399f3d985d8af8
SHA1: c42de4e2fb617b10b06eb7acdbd44865955592ef
SHA256: b80739946dfed4b6b8b7a6eb548cbf092fd226bcebd90ad4e2159bd3c825f9d5
Nombre de archivo: build.exe / Tamaño: 92.9 KB /
MD5: da0a320c87310888032ad37ad35173fd
SHA1: 31b310238f3a290d6ee52470268536019852ecc5
SHA256: e5e5ab14273251fda563f69735c12d36f9817fd526ef0dc46c233a52e657efaf
|
|
Se copia a sí mismo en la siguiente ruta y crea una llave en el registro del sistema operativo:
» C:\Users\W7_MMD\AppData\Roaming\DirectX.exe
» HKCU\Software\Microsoft\Windows\CurrentVersion\Run
» HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Creación del Mutex con el nombre radamantv2.1:
|
|
Crea y escribe “aaa.bat” con el fin de ejecutar los comandos para eliminar y detener el archivo y proceso actual.
|
|
|
|
Información de red
|
Realiza conexiones con el sitio Web checkip.dyndns.org para obtener la dirección IP origen del equipo infectado, seguido a esto registra el equipo en el servidor de comando y control (C&C) registrado en el dominio tangotangocash.com con la dirección IP 31.184.234.68
|
|
|
Si la maquina infectada pertenece a alguno de los siguientes países, se inicia un proceso automático para descifrar todos los archivos con extensión .RADAMANT:
[6:UA] » Ucrania
[6:RU] » Rusia
[6:KZ] » Kazajistán
[6:BY] » Bielorrusia
|
|
De lo contrario continua con el proceso habitual de comunicación con el C&C y cifra una gran cantidad de tipos de archivo.
|
|
|
|
Descarga
|
|
Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Mosh
@nyxbone
#MalwareMustDie
|
