Campaña de Ransomware: TeslaCrypt
En el día de ayer me llego un correo phishing con un regalo desagradable, un encriptor de datos.
Los correos maliciosos llegan con un adjunto .zip con un javascript codificado en su interior.
Your order #39203250 - Corresponding Invoice #1AF14884
JavaScript Ofuscado.
Al ejecutarlo descarga y ejecuta un .exe
http://urlquery.net/report.php?id=1449670303414
Análisis de la amenaza en VT
https://www.virustotal.com/es-ar/file/832b72759899c9b6c4aa41afc8640d37a7be7c60797bcd120a019b867d8fa492/analysis/
Desempacado del malware.
Strings Interesantes
Address Disassembly Text string
0040103B PUSH dump.004322C8 UNICODE "Software\%s"
0040108A PUSH dump.004322E0 UNICODE "data"
0040111F PUSH dump.004322EC ASCII "Software\%S"
00401142 PUSH dump.004322F8 ASCII "S-1-5-18\"
004011DB PUSH dump.00432304 ASCII "data"
00401280 PUSH dump.0043230C UNICODE "\S-1-5-18\Software\zsys\"
004012AC PUSH dump.00432340 UNICODE "ID"
004012DC PUSH dump.00432348 UNICODE "%X%X%X%X"
00401313 PUSH dump.00432348 UNICODE "%X%X%X%X"
00401368 PUSH dump.0043235C UNICODE "Software\zsys\"
00401386 PUSH dump.00432340 UNICODE "ID"
004013C6 PUSH dump.00432340 UNICODE "ID"
004013FC PUSH dump.00432348 UNICODE "%X%X%X%X"
00401433 PUSH dump.00432348 UNICODE "%X%X%X%X"
00412BAE PUSH dump.00438194 ASCII "sdflk35jghs"
00412BD1 MOV DWORD PTR SS:[EBP-6C],dump.00438194 ASCII "sdflk35jghs"
00412F99 MOV ESI,dump.00432EF0 ASCII ".dll"
0041373F PUSH dump.00433010 UNICODE "how_recover"
0041374B PUSH dump.00433028 UNICODE "%s\%s+%s.txt"
004137A7 PUSH dump.00433010 UNICODE "how_recover"
004137B3 PUSH dump.00433044 UNICODE "%s\%s+%s.html"
00413975 ASCII "Qh",0
004139E0 MOV ECX,dump.00433060 UNICODE "A:\"
00413A30 MOV ECX,dump.00433068 UNICODE "B:\"
00413C10 PUSH dump.00433070 UNICODE "\*.*"
00413C9F MOV EAX,dump.00433080 UNICODE ".."
00413EBD MOV EAX,dump.00433088 UNICODE "recove"
00413ECD MOV EAX,dump.00433098 UNICODE ".vvv"
00413FF0 PUSH dump.00433098 UNICODE ".vvv"
0041A306 PUSH dump.0043312C ASCII "Cr"
0041A31D PUSH dump.00433130 ASCII "ypted"
0041A381 PUSH dump.004330E0 ASCII "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko"
0041A4E7 PUSH dump.004324AC ASCII "2.2.0"
0041A6F8 PUSH dump.00433138 ASCII "%s?%s"
0041A744 PUSH dump.00433140 ASCII "GET"
0041A7B8 PUSH dump.00433144 ASCII "INSERTED"
0041A85C PUSH dump.004330E0 ASCII "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko"
0041A874 PUSH dump.00433150 UNICODE "http://myexternalip.com/raw"
0041D75E MOV DWORD PTR SS:[EBP-854],dump.0043813C UNICODE "runas"
0041D82D PUSH dump.00438148 ASCII "vssa"
0041D843 PUSH dump.00438150 ASCII "dmin"
0041D859 PUSH dump.00438158 ASCII ".exe"
0041D881 PUSH dump.00438160 ASCII "delete "
0041D897 PUSH dump.00438168 ASCII "shadows "
0041D8B0 PUSH dump.00438174 ASCII "/all "
0041D8C6 PUSH dump.0043817C ASCII "/Quiet "
0041D8F8 MOV DWORD PTR SS:[EBP-23C],dump.00438184 ASCII "open"
0041D90A MOV DWORD PTR SS:[EBP-23C],dump.0043818C ASCII "runas"
0041DAFD PUSH dump.004335E8 ASCII "Qwi+Z2ptKhg884OCgBjab+QQ1zaBfozWc6txcHgkc6+AEn1w8gFPofQSOA7x8Y=="
0041DB1D PUSH dump.00433598 ASCII "xqTHKxhHf5KXoX/eFiktjVyAZ6uGJ2BLl7SzVC2ueVDnONLTeN2Q0HW7rmeSlcHFEnI12UrR"
0041DB40 PUSH dump.00433550 ASCII "FSVvmBCBk7wMEoif5nZjWH2tFlEkUQwgKwPy/04w8E/WLQlp4ogUohBlNgZ9YQ=="
0041DB62 PUSH dump.00433508 ASCII "l2Hd+QlQKxTunawJxW1JslefFsEIYc79d+JZDiPXpj3qNRCiQgVitrCMwwlKju=="
0041DB82 PUSH dump.004334B8 ASCII "F2UeThCgQBrhu5kWIiCOhuvLGNBAhWdhD5T4Ukihd+Jaq26PBSLnxjMN0BHbDtJYoZKoigO5"
0041DBA6 PUSH dump.00433468 ASCII "5p32jJULMx6o6X1+OfAh17uh5oGV9Czt8RLgjANQsmmmqxopIg/vQdShWSchJi9IpKlrPXAb"
0041DBCC PUSH dump.00433420 ASCII "6hZ3J2jHDTP8JtXjBjr+wNn+4a/uKzK1vyouD8qyHswLsR7E9X2Wf9SgwAlRna=="
0041DF89 PUSH dump.004381CC ASCII "Wow64DisableWow64FsRedirection"
0041DF91 PUSH dump.004381EC ASCII "Wow64RevertWow64FsRedirection"
0041DFE1 PUSH dump.0043820C UNICODE "\recover_file_"
0041E012 PUSH dump.0043822C UNICODE ".txt"
0041E07F PUSH dump.00438238 UNICODE ":Zone.Identifier"
0041E0AE PUSH dump.0043825C ASCII "SeDebugPrivilege"
0041E16B PUSH dump.00438270 UNICODE "2134-1234-1324-2134-1324-2134"
0041E1EF PUSH dump.004382AC ASCII "bcdedit.exe /set {current} bootems off"
0041E1FC PUSH dump.004382D4 ASCII "bcdedit.exe /set {current} advancedoptions off"
0041E209 PUSH dump.00438304 ASCII "bcdedit.exe /set {current} optionsedit off"
0041E216 PUSH dump.00438330 ASCII "bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures"
0041E223 PUSH dump.00438370 ASCII "bcdedit.exe /set {current} recoveryenabled off"
0041E454 PUSH dump.004383B8 UNICODE "%s\Howto_RESTORE_FILES.txt"
0041E48F PUSH dump.004383FC UNICODE "%s\Howto_RESTORE_FILES.html"
0041E4C3 PUSH dump.00438434 UNICODE "%s\Howto_RESTORE_FILES.bmp"
0041E78B PUSH dump.0043846C UNICODE "%s\%s"
0041E7E3 PUSH dump.00438478 UNICODE "%s\%sacroic.exe"
0041E904 PUSH dump.00438498 UNICODE "/c "
0041E91A PUSH dump.004384A0 UNICODE "DE"
0041E930 PUSH dump.004384A8 UNICODE "L "
0041E97B PUSH dump.004384B0 UNICODE "ComSpec"
0041E9EE PUSH dump.004384C0 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
0041EA12 PUSH dump.004384FC UNICODE "EnableLinkedConnections"
0041EA58 PUSH dump.004333C0 UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"
El troyano verifica la IP de la victima con el siguiente servicio
"http://myexternalip.com/raw"
Trafico.
Luego de ofuscar los datos se despliega este html
Entramos a la web que se nos indica y vemos la exigencia del pago de u$s 500 o 1.15 BTC
La recomendación es no abrir correos no solicitados y mucho menos abrir los adjuntos, y como siempre reforzar las campañas de concientización.
Muestras: https://www.dropbox.com/s/qthkfjoodar7tct/TeslaCrypt-09-12-15.rar?dl=0
Eso es todo por el momento.
@Dkavalanche 2015
2 comentarios:
Hola! Cual es el software que utilizás en Tráfico? No lo reconozco pero parece intresante.
Gracias!
Hola Sebastián, es el SmartSniff de NirSoft.
http://www.nirsoft.net/network_tools.html
Saludos.
Publicar un comentario