CryptoVirus: bitCrypt 2.0

Hace unos días apareció una nota sobre la rotura del cifrado del Ramson bitcrypt, se trata de uno de los tantos Ransomware que cifran archivos. A muy grandes rasgos la nota explica que por un error en la programación del ransom se dejo una clave de cifrado publica lo suficientemente corta como para aplicar criptoanálisis y obtener la clave privada para poder recuperar los archivos cifrados por esta amenaza.
Esta nota fue publicada el 20/02/2014, y los chicos malos no se tardaron en fixear su engendro y volvieron a la carga con la versión bitCrypt 2.0...si si los malos también leen los blog's de seguridad... 
Hace unos día un compañero me acerco una maquina infectada con la versión 2.0, presuntamente se infecto con solo navegar con una PC desactualizada y sin anti-virus.....

Le pase KaV booteando desde un USB y encontramos lo siguiente:


3/5/14 3:32 PM Detected Trojan program Trojan-Ransom.Win32.Blocker.dxgq C:/Documents and Settings/User001/Application Data/NTMoV.exe High

3/5/14 3:33 PM Detected Trojan program HEUR:Exploit.Java.Generic C:/Documents and Settings/User001/Application Data/Sun/Java/Deployment/cache/6.0/3/1807b203-75e412a4 High

3/5/14 3:33 PM Detected Trojan program HEUR:Exploit.Java.Generic C:/Documents and Settings/User001/Application Data/Sun/Java/Deployment/cache/6.0/49/6bfc50f1-36f65919 High

3/5/14 3:33 PM Detected Trojan program Exploit.Java.Agent.hi C:/Documents and Settings/User001/Application Data/Sun/Java/Deployment/cache/6.0/50/5f58af32-7bbf83f4//y/main.class High

3/5/14 3:36 PM Detected Trojan program Trojan-PSW.Win32.Tepfer.thee C:/Documents and Settings/User001/Local Settings/Temp/000104be.exe High

3/5/14 3:36 PM Detected Trojan program Trojan-Ransom.Win32.Blocker.dvck C:/Documents and Settings/User001/Local Settings/Temp/00161458.exe High


Por lo que dado el estado de la PC,  desde mi punto de vista, la victima se infecto por medio de un exploit de Java que le descargo y ejecuto arbitrariamente un Fareit (000104be.exe), y este ultimo descargo el bitCrypt2 (00161458.exe)


Fareit (downloader)

Analisis en VT detección 15/40

Clásico Crypter

Password Stealer

Dinamicamente comprobamos que automáticamente descarga una amenaza (bitCrypt2) desde un sitio presuntamente hackeado.

Analisis en VT

Esta amenaza tiene dos capas de ofuscación, para dificultar su análisis, la primera es un clásico crypter y la segunda esta compactada con ASPack 2.12

Pushad del inicio de la rutina de ASPack

Verificamos con RDG, vale tambien PEid o similar

Para quitar esta capa de ASPack tenemos que encontrar el OEP .

Tenemos que poner un Hardware  BP como word sobre los 4 bytes sobre la data que apunta en ECX (follow in dump), 

Luego ejecutamos con (F9) y obtenemos el BP, avanzamos paso a paso (F7) hasta caer en el OBP

Analysis -> Analyse code

Listo ya estamos en el OBP y procedemos a realizar el DUMP

Usamos ImportRec para arreglar la IAT del dump

El archivo final lo cargo en el Olly para probar que carga todo bien.

A partir de ahora puedo analizar el binario con PE Explorer o IDR sumado al analisis dinámico y entender como funciona.

Strings

00476333   MOV EDX,win-dump.004764A4                 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
00476395   PUSH win-dump.004764DC                    ASCII "del ""
004763CD   PUSH win-dump.004764DC                    ASCII "del ""
004763D8   PUSH win-dump.004764F8                    ASCII "del.bat""
00476402   MOV ECX,win-dump.0047650C                 ASCII "del.bat"
0047643A   MOV ECX,win-dump.0047650C                 ASCII "del.bat"
004764A4   ASCII "SOFTWARE\Microso"
004764B4   ASCII "ft\Windows\Curre"
004764C4   ASCII "ntVersion\Run",0
004764DC   ASCII "del "",0
004764EC   ASCII """,0
004764F8   ASCII "del.bat"",0
0047650C   ASCII "del.bat",0
004765D2   MOV EDX,win-dump.004767DC                 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
00476625   MOV ECX,win-dump.00476814                 ASCII ".exe"
004766EC   MOV ECX,win-dump.00476814                 ASCII ".exe"
004767DC   ASCII "SOFTWARE\Microso"
004767EC   ASCII "ft\Windows\Curre"
004767FC   ASCII "ntVersion\Run",0
00476814   ASCII ".exe",0
00476824   ASCII """,0
00476830   ASCII "\",0
00476873   MOV EDX,win-dump.00476940                 ASCII "SYSTEM\CurrentControlSet\Control\SafeBoot"
0047687D   MOV EDX,win-dump.00476974                 ASCII "SYSTEM\CurrentControlSet\Control\SafeBoot\Network"
004768AD   MOV EDX,win-dump.00476940                 ASCII "SYSTEM\CurrentControlSet\Control\SafeBoot"
004768B7   MOV EDX,win-dump.004769B0                 ASCII "SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal"
004768DB   PUSH win-dump.004769E4                    ASCII "/K bcdedit /set {bootmgr} displaybootmenu no"
004768E0   PUSH win-dump.00476A14                    ASCII "cmd.exe"
004768FC   PUSH win-dump.00476A1C                    ASCII "/K bcdedit /set {default} bootstatuspolicy ignoreallfailures"
00476901   PUSH win-dump.00476A14                    ASCII "cmd.exe"


00477D44   ASCII "EncryptComplete",0
00477D5C   ASCII "false",0


004773A9   PUSH win-dump.004774DC                    ASCII "Your computer was infected by BitCrypt v2.0 cryptovirus."
004773C4   PUSH win-dump.00477520                    ASCII "For more information you should find txt file named Bitcrypt.txt on your hard drive."
00477431   MOV EDX,win-dump.00477580                 ASCII "Control Panel\Desktop"
00477453   MOV EDX,win-dump.004775A0                 ASCII "Wallpaper"
00477464   MOV EDX,win-dump.004775A0                 ASCII "Wallpaper"

Archivos elegidos para cifrar.

0459441   ASCII "TCrypt"
00459450   ASCII "*.dbf",0
00459460   ASCII "*.mdb",0
00459470   ASCII "*.mde",0
00459480   ASCII "*.xls",0
00459490   ASCII "*.xlw",0
004594A0   ASCII "*.docx",0
004594B0   ASCII "*.doc",0
004594C0   ASCII "*.cer",0
004594D0   ASCII "*.key",0
004594E0   ASCII "*.rtf",0
004594F0   ASCII "*.xlsm",0
00459500   ASCII "*.xlsx",0
00459510   ASCII "*.txt",0
00459520   ASCII "*.xlc",0
00459530   ASCII "*.docm",0
00459540   ASCII "*.xlk",0
00459550   ASCII "*.text",0
00459560   ASCII "*.ppt",0
00459570   ASCII "*.djvu",0
00459580   ASCII "*.pdf",0
00459590   ASCII "*.lzo",0
004595A0   ASCII "*.djv",0
004595B0   ASCII "*.cdx",0
004595C0   ASCII "*.cdt",0
004595D0   ASCII "*.cdr",0
004595E0   ASCII "*.bpg",0
004595F0   ASCII "*.xfm",0
00459600   ASCII "*.dfm",0
00459610   ASCII "*.pas",0
00459620   ASCII "*.dpk",0
00459630   ASCII "*.dpr",0
00459640   ASCII "*.frm",0
00459650   ASCII "*.vbp",0
00459660   ASCII "*.php",0
00459670   ASCII "*.js",0
00459680   ASCII "*.wri",0
00459690   ASCII "*.css",0
004596A0   ASCII "*.asm",0
004596B0   ASCII "*.jpg",0
004596C0   ASCII "*.jpeg",0
004596D0   ASCII "*.dbx",0
004596E0   ASCII "*.dbt",0
004596F0   ASCII "*.odc",0
00459700   ASCII "*.sql",0
00459710   ASCII "*.abw",0
00459720   ASCII "*.pab",0
00459730   ASCII "*.vsd",0
00459740   ASCII "*.xsf",0
00459750   ASCII "*.xsn",0
00459760   ASCII "*.pps",0
00459770   ASCII "*.lzh",0
00459780   ASCII "*.pgp",0
00459790   ASCII "*.arj",0
004597A0   ASCII "*.gz",0
004597B0   ASCII "*.pst",0
004597C0   ASCII "*.xl",0



No SafeBoot
Las siguientes llaves de registro para XP deshabilita el SafeBoot

"SYSTEM\CurrentControlSet\Control\SafeBoot"
SYSTEM\CurrentControlSet\Control\SafeBoot\Network"
"SYSTEM\CurrentControlSet\Control\SafeBoot"
"SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal"

Aquí para Windows 8 mediante el comando bcdedit

"/K bcdedit /set {bootmgr} displaybootmenu no"
"/K bcdedit /set {default} bootstatuspolicy ignoreallfailures"

Persistencia en el sistema.

El troyano permanecerá en el sistema mientras no se termine de encriptar tos los archivos elegidos, una vez finalizada la tarea, se borrara así mismo y cambiara el fondo de escritorio con un mensaje para la victima.

004765D2   MOV EDX,win-dump.004767DC                 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

00476625   MOV ECX,win-dump.00476814                 ASCII ".exe"

004766EC   MOV ECX,win-dump.00476814                 ASCII ".exe"

Mensaje mostrado a la Victima.

Instrucciones para el pago y desbloqueo de nuestros archivos.

Sitio para pagar y obtener el decodificador:

Archivo de configuración bitcrypt.ccw creado en %APPDATA% contiene la clave, el bitCryptID y un string que indica si finaliza o no la encripcion, en este caso se encuentra en false.

bitcrypt.ccw 

ElNR6cJQJlfR91ZURM1lDoYpTyo8Sl=zQf6GWe=vnzCyMd5ffbqvduDlChq3iR444dcaDCiYFRV5V3s8gcEm0tn=ffk6T4NqtUm+y5N6teS5q1lWbEfXmVzfVgEvVvYix83zP6lVGKIkrqPDrD5xgyVyqA4kqoX75ZyGK1WL8BG

WIN-217-4772477

false

00477D44   ASCII "EncryptComplete",0

00477D5C   ASCII "false",0

Una vez finalizado el trabajo false cambiara por EncryptComplete.

Nótese que la clave ya no es corta como en el caso descrito en el blog de cassidiancybersecurity por lo que el método de descifrado propuesto ya no sirve.

Solo encontré que esta amenaza ataca al disco donde se encuentra el S.O. instalado, no alcanzando otras unidades mapeadas.
Los archivos una vez cifrados son borrados en forma segura (sobre escritos) y no pueden ser recuperados.

Recomendación: Como siempre, las buenas practicas, de contar con el S.O. actualizado, contar con un antivirus activo y actualizado, que si bien no es garantía de que no nos infectemos, reduciremos dramáticamente la posibilidades de ser infectados. 
Realizar backups regulares de los archivos importantes, en DVD o BlueRay, también valen los discos extremos, asegurándonos de no dejarlos siempre conectados al PC a backupear, debido a que estos backups pueden ser alcanzados por un Ransomware de este estilo.
También se puede contar con una solución de backups en la nube, pero ya entra otro paradigma sobre la privacidad de nuestra información confiada a dicha nube.




Muestra: https://www.dropbox.com/s/urirypb8i1xdae4/BitCrypt2-06-03-14.zip

Sea cuidadoso!


Es todo por el momento.
@Dkavalanche 2014