elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Ransomware Tobfy.M / LockScreen.AXE
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ransomware Tobfy.M / LockScreen.AXE  (Leído 2,014 veces)
m0sh

Desconectado Desconectado

Mensajes: 13


Ver Perfil WWW
Ransomware Tobfy.M / LockScreen.AXE
« en: 13 Agosto 2013, 19:59 pm »

Este troyano es del tipo ransomware, también es llamado el virus de la policía debido a que el mensaje que bloquea la pantalla del usuario infectado pertenece a dicha organización, por lo general la imagen corresponde con la entidad policial del país del equipo amenazado.

SHA256: 837eaaee10aaf84e173d9754736901ff579455a8f4163b8270af88b07ef393fe
SHA1: 2e1c0370fc4b350d5f8ae4400a1cf706fac384bd
MD5: 30ae49e2bd4b63e643c5a714fbccb3eeVer strings
Tamaño: 34.0 KB ( 34816 bytes )
Nombre: Info.Pdf_________________________________________________________...
Tipo: Win32 EXE
Etiquetas: peexe upx
Detecciones: 35 / 47
Fecha de análisis: 2013-07-19

PARA VER EL ANALISIS EN DETALLE: http://www.nyxbone.com/malware/tobfy.html

comienza su ejecución extrayendo los tipos de archivos que va a cifrar, la función en la posición 00405580 es la encargada de traer dicha información y ubicarla en memoria para ser usada por la función de cifrado posterior, las extensiones son: *.jpeg, *.jpg, *.pdf, *.pptx, *.ppt, *.xlsx, *.xls, *.rtf, *.docx, *.doc, *test.txt

Una vez obtenidas las extensiones de los archivos a cifrar el troyano se encarga de buscar dichos archivos en todas las carpetas del sistema, la siguiente imagen muestra un archivo tomado como ejemplo para ilustrar mejor el proceso.




Cuando encuentra un archivo con la extensión indicada procede a cifrar su información, primero compara las primeras letras del archivo con la cadena *AES* de ser así finaliza el proceso de lo contrario procede a leer todo el texto del archivo y cifra cada una de las letras del mismo “XOR” cada una de las letras de la clave: Pr1v37*Fr0m*Be10Ru551a (0040503B) hasta el final del mismo en 00405028 donde finaliza el proceso




La siguiente función cambia el troyano a modo escritura a través del string “wb”






Posteriormente inserta la información cifrada, primero los caracteres *AES* (para interferir con el analisis) seguido de cada uno de los caracteres cifrados, así sucesivamente hasta que sea el final del archivo (004050A5)






Finalmente pasa a la función encargada de cambiar el nombre del archivo original (0040512E) a uno con la extensión .ENCRYPTED_AND_LOCKED








« Última modificación: 14 Agosto 2013, 07:07 am por m0sh » En línea

www.NYXBONE.com
Twiter: @nyxbone
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Servicios online para desbloquear Ransomware
Seguridad
r32 0 2,456 Último mensaje 12 Julio 2012, 23:49 pm
por r32
Detectado un nuevo ransomware que cifra los datos de sus víctimas
Noticias
wolfbcn 0 1,694 Último mensaje 1 Febrero 2013, 02:03 am
por wolfbcn
¿Es posible la recuperación de archivos infectados con un ransomware?
Noticias
wolfbcn 0 2,490 Último mensaje 19 Julio 2013, 17:34 pm
por wolfbcn
La Policía de Malta advierte acerca de un ransomware que aprovecha su nombre
Noticias
wolfbcn 0 1,153 Último mensaje 18 Octubre 2013, 14:54 pm
por wolfbcn
Funcionamiento interno del ransomware Cryptolocker
Noticias
wolfbcn 0 1,709 Último mensaje 30 Octubre 2013, 18:21 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines