|
Título: Ransomware Tobfy.M / LockScreen.AXE Publicado por: m0sh en 13 Agosto 2013, 19:59 pm Este troyano es del tipo ransomware, también es llamado el virus de la policía debido a que el mensaje que bloquea la pantalla del usuario infectado pertenece a dicha organización, por lo general la imagen corresponde con la entidad policial del país del equipo amenazado.
SHA256: 837eaaee10aaf84e173d9754736901ff579455a8f4163b8270af88b07ef393fe SHA1: 2e1c0370fc4b350d5f8ae4400a1cf706fac384bd MD5: 30ae49e2bd4b63e643c5a714fbccb3eeVer strings Tamaño: 34.0 KB ( 34816 bytes ) Nombre: Info.Pdf_________________________________________________________... Tipo: Win32 EXE Etiquetas: peexe upx Detecciones: 35 / 47 Fecha de análisis: 2013-07-19 PARA VER EL ANALISIS EN DETALLE: http://www.nyxbone.com/malware/tobfy.html comienza su ejecución extrayendo los tipos de archivos que va a cifrar, la función en la posición 00405580 es la encargada de traer dicha información y ubicarla en memoria para ser usada por la función de cifrado posterior, las extensiones son: *.jpeg, *.jpg, *.pdf, *.pptx, *.ppt, *.xlsx, *.xls, *.rtf, *.docx, *.doc, *test.txt Una vez obtenidas las extensiones de los archivos a cifrar el troyano se encarga de buscar dichos archivos en todas las carpetas del sistema, la siguiente imagen muestra un archivo tomado como ejemplo para ilustrar mejor el proceso. (http://www.nyxbone.com/images/articulos/malware/tobfy/26.png) Cuando encuentra un archivo con la extensión indicada procede a cifrar su información, primero compara las primeras letras del archivo con la cadena *AES* de ser así finaliza el proceso de lo contrario procede a leer todo el texto del archivo y cifra cada una de las letras del mismo “XOR” cada una de las letras de la clave: Pr1v37*Fr0m*Be10Ru551a (0040503B) hasta el final del mismo en 00405028 donde finaliza el proceso (http://www.nyxbone.com/images/articulos/malware/tobfy/18.png) La siguiente función cambia el troyano a modo escritura a través del string “wb” (http://www.nyxbone.com/images/articulos/malware/tobfy/19.png) (http://www.nyxbone.com/images/articulos/malware/tobfy/20.png) Posteriormente inserta la información cifrada, primero los caracteres *AES* (para interferir con el analisis) seguido de cada uno de los caracteres cifrados, así sucesivamente hasta que sea el final del archivo (004050A5) (http://www.nyxbone.com/images/articulos/malware/tobfy/21.png) (http://www.nyxbone.com/images/articulos/malware/tobfy/27.png) Finalmente pasa a la función encargada de cambiar el nombre del archivo original (0040512E) a uno con la extensión .ENCRYPTED_AND_LOCKED (http://www.nyxbone.com/images/articulos/malware/tobfy/22.png) (http://www.nyxbone.com/images/articulos/malware/tobfy/23.png) |