Ransomware Tobfy.M / LockScreen.AXE

Iniciado por m0sh, 13 Agosto 2013, 19:59 PM

0 Miembros y 1 Visitante están viendo este tema.

m0sh

Este troyano es del tipo ransomware, también es llamado el virus de la policía debido a que el mensaje que bloquea la pantalla del usuario infectado pertenece a dicha organización, por lo general la imagen corresponde con la entidad policial del país del equipo amenazado.

SHA256: 837eaaee10aaf84e173d9754736901ff579455a8f4163b8270af88b07ef393fe
SHA1: 2e1c0370fc4b350d5f8ae4400a1cf706fac384bd
MD5: 30ae49e2bd4b63e643c5a714fbccb3eeVer strings
Tamaño: 34.0 KB ( 34816 bytes )
Nombre: Info.Pdf_________________________________________________________...
Tipo: Win32 EXE
Etiquetas: peexe upx
Detecciones: 35 / 47
Fecha de análisis: 2013-07-19

PARA VER EL ANALISIS EN DETALLE: http://www.nyxbone.com/malware/tobfy.html

comienza su ejecución extrayendo los tipos de archivos que va a cifrar, la función en la posición 00405580 es la encargada de traer dicha información y ubicarla en memoria para ser usada por la función de cifrado posterior, las extensiones son: *.jpeg, *.jpg, *.pdf, *.pptx, *.ppt, *.xlsx, *.xls, *.rtf, *.docx, *.doc, *test.txt

Una vez obtenidas las extensiones de los archivos a cifrar el troyano se encarga de buscar dichos archivos en todas las carpetas del sistema, la siguiente imagen muestra un archivo tomado como ejemplo para ilustrar mejor el proceso.




Cuando encuentra un archivo con la extensión indicada procede a cifrar su información, primero compara las primeras letras del archivo con la cadena *AES* de ser así finaliza el proceso de lo contrario procede a leer todo el texto del archivo y cifra cada una de las letras del mismo "XOR" cada una de las letras de la clave: Pr1v37*Fr0m*Be10Ru551a (0040503B) hasta el final del mismo en 00405028 donde finaliza el proceso




La siguiente función cambia el troyano a modo escritura a través del string "wb"






Posteriormente inserta la información cifrada, primero los caracteres *AES* (para interferir con el analisis) seguido de cada uno de los caracteres cifrados, así sucesivamente hasta que sea el final del archivo (004050A5)






Finalmente pasa a la función encargada de cambiar el nombre del archivo original (0040512E) a uno con la extensión .ENCRYPTED_AND_LOCKED








www.NYXBONE.com
Twiter: @nyxbone