jueves, 29 de diciembre de 2016

CERBER #Ransomware: Nueva campaña con documentos word con Macros.


Bueno, tenia pensado ya cerrar la persiana del blog por este año, pero no.
Vamos a comentar esta campaña de Ransomware que pide un rescate por los archivos encriptados de las víctimas.

Fuente del correo recibido, no tiene subject.





Contiene un .zip con parte del nombre igual al correo de la victima.




Al abrir el documento una imagen nos indica activar el contenido (Macros).



Aquí los macros que contiene el .DOC



Probamos la ejecución en una VM vemos que hace la descarga del siguiente elemento.




Descarga del Ejecutable con el querido malzilla.




El ejecutable contiene el icono de un supuesto .pdf

Utiliza un packer de NullSoft (PiMP SFX)




Analisis en V.T. con un indice mínimo de detecciones.



Función anti Debugging.






Dumpeamos en ResumeThread




Strings obtenidos en el Dump




Analisis en VT sin el Crypter.




Prueba Dinámica.







Parte de la Config del Ransomware

ntuser.dat
thumbs.db
folders
:\$getcurrent\
:\$recycle.bin\
:\$windows.~bt\
:\$windows.~ws\
:\boot\
:\documents and settings\all users\
:\documents and settings\default user\
:\documents and settings\localservice\
:\documents and settings\networkservice\
\intel\
:\msocache\
:\perflogs\
:\program files (x86)\
\windows10upgrade\
\program files\
:\programdata\
:\recovery\
:\recycled\
:\recycler\
:\system volume information\
:\temp\
:\windows.old\
\appdata\local\
:\windows\
:\winnt\
%I64d
\appdata\locallow\
\appdata\roaming\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\
languages
+-0123456789.Ee
0
check
language
close_process
close_process
process
sqbcoreservice.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
ocssd.exe
agntsvc.exeisqlplussvc.exe
dbeng50.exe
dbsnmp.exe
fbserver.exe
firefoxconfig.exe
msftesql.exe
mydesktopqos.exe
mydesktopservice.exe
mysqld-nt.exe
mysqld-opt.exe
mysqld.exe
ocautoupds.exe
ocomm.exe
sqlbrowser.exe
oracle.exe
sqlwriter.exe
sqlagent.exe
tbirdconfig.exe
sqlservr.exe
.orf
synctime.exe
p
p
.nyf
xfssvccon.exe
debug
default
site_1
onion.to
site_2
onion.cab
site_3
onion.nu
site_4
onion.link
site_5
tor2web.org
tor
p27dokhpz2n7nvgr
encrypt
bytes_skip
divider
encrypt
files
.123
.1cd
.3dm
.3ds
.3fr
.3g2
.3gp
.3pr
.602
.7z
.7zip
.aac
.ab4
.abd
.acc
.accdb
.accde
.accdr
.accdt
.ach
.acr
.act
.adb
.adp
.ads
.aes
.agdl
.ai
.aiff
.ait
.al
.aoi
.apj
.apk
.arc
.arw
.ascx
.asf
.asm
.asp
.aspx
.asset
.asx
.atb
.avi
.awg
.back
.backup
.backupdb
.bak
.bank
.bat
.bay
.bdb
.bgt
.bik
.bin
.bkp
.blend
.bmp
................................................

.jpg
data_finish
file_extension
\steam\
files_name
_{RAND}_README_
run_by_the_end
self_deleting
statistics
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
background
text
whitelist
folders
\bitcoin\
\excel\
\microsoft sql server\
\microsoft\powerpoint\
\microsoft\excel\



La Public Key



Les dejo el sample y el dump, tener mucho cuidado!!!!

https://dl.dropboxusercontent.com/u/80008916/cerber-29-12-16.rar



Eso es todo por este 2016 @Dkavalanche 





2 comentarios:

Arturo Torres Molina dijo...

En caso de que cerber encripte, que herramientas recomiendas para restaurar los archivos?

@Dkavalanche dijo...

Hola Arturo, por el momento no hay posibilidad de recuperar la información encriptada por este Ransom.

Saludos.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...