Análisis

Crea los archivos:

» YOUR_FILES_ARE_LOCKED.txt - Este archivo es creado en todas las carpetas existentes en el sistema.
» C:\Users\W7_MMD\AppData\Local\Roaming\c35312fb3a.bmp - Nombre Aleatorio
» C:\Users\W7_MMD\AppData\Local\Temp\dejqmavb.bat - Nombre Aleatorio


Crea y modifica las siguientes llaves de registro:

» HKCU\Control Panel\Desktop\Wallpaper
» HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


El troyano comienza su ejecución cargando en memoria las diferentes librerías y funciones que requiere para su funcionamiento, así mismo declara las variables de entorno (%SYSTEMROOT%, %USERPROFILE%, %ALLUSERSPROFILE%, %TEMP%, %APPDATA%, %LOCALAPPDATA%, %ProgramFiles%, %ProgramFiles(x86)% y %COMSPEC%) con las cuales podrá acceder a las carpetas del sistema y detecta el lenguaje configurado en el sistema operativo.

Hace uso de la función CryptAcquireContextW definiendo el CSP como: Microsoft Enhanced RSA and AES Cryptographic Provider, a través del cual podrá hacer llamados a diferentes funciones CryptoAPI.

Genera una llave aleatoria por medio de la función CryptGenKey donde especifica el algoritmo AES y una longitud de 256 bits para su creación. Así mismo permite exportar el valor de la llave de forma segura por medio de la función CryptExportKey.

Extrae la llave RSA de 2048 bits (codificada dentro del código fuente) y la importa por medio de la función CryptImportKey.

Cifra la llave (AES256 con la cual son cifrados los archivos) haciendo uso de la función CryptEncrypt y la llave pública RSA (2048) generada anteriormente.

Finalmente asigna el formato final a la llave por medio de la función CryptBinaryToString, este valor es enviado (como se mencionó anteriormente) a los atacantes por medio de correo electrónico.

Cifra TODOS los archivos excepto los del siguiente tipo o con extensión: .exe, .com, .bin, .dat, .sys, .dmp, .info, .key, .pdb, .bat, .ps1, .vb, .ws, .wsd, .cpl, .reg, .dll, .ini, .msi, .pfx, .sct y .wsc.

El archivo .bmp (c35312fb3a.bmp) es creado decodificando cadenas de texto implícitas dentro del ejecutable + la llave de cifrado creada en los pasos anteriores.

Posteriormente hace uso del explorador de Windows: Internet Explorer con el cual ejecuta una petición (GET) HTTP oculta a una página Web ubicada en pastebin.com ("C:\Program Files (x86)\Internet Explorer\iexplore.exe" -noframemerging http;//pastebin.com/tMbVEf15), esta característica (y debido a la no existencia de un servidor de comando y control C2) puede ser utilizada como un contador para identificar la cantidad de usuarios que han sido infectados por el troyano.

Finalmente crea el archivo .bat (dejqmavb.bat) encargado de eliminar el archivo inicial con el fin de no dejar rastro en el sistema.

Descarga