Análisis

Crea los archivos:
» C:\Users\W7_MMD\Desktop\css.vbs
» C:\Users\W7_MMD\Desktop\index.html
» C:\Users\W7_MMD\Desktop\razy.jpg
» C:\Users\Public\razydecrypt.jpg

El troyano comienza su ejecución a través de la función crypt() encargada de generar una llave aleatoria de 128 bytes de longitud y definir las diferentes carpetas que serán modificadas en el sistema: Desktop, Personal, MyPictures, MyMusic, MyVideos.

La función encryptAll obtiene la información de todos los archivos almacenados en estos directorios y hace un llamado a al método encryptFile el cual tiene las siguientes instrucciones:


encryptFile

» Obtiene todos los detalles relacionados con el archivo original: Ruta, nombre y extensión.
» Revisa que dicha extensión forme parte de la lista definida de archivos objetivo:

.txt, .png, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .contact, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .txt, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip

» Maneja una variable booleana para determinar si el nombre de archivo tiene o no un tamaño mayor a 255 bytes, de ser así omite la modificación y continua con el siguiente archivo.
» Hace uso del algoritmo de cifrado AES; enviando la información almacenada en el archivo y el password de 128 bytes de longitud.
» Crea un nuevo archivo en la misma ruta con un nombre de archivo aleatorio creado a través de la función getRandomFileName() y agrega la extensión .razy.
» Finalmente elimina el archivo original y espera un tiempo antes de continuar el proceso con el siguiente archivo objetivo.

Una vez alterada toda la información procede con la descarga y ejecución de los archivos encargados de comunicar al usuario víctima de las modificaciones sufridas, por medio del sitio Web virusdotexe.bplaced.net con dirección IP 144.76.167.70 (Germany Nuremberg Hetzner Online Ag / AS24940 HETZNER-AS) el troyano puede cumplir con este objetivo:

» hxxp://virusdotexe.bplaced.net/css.vbs: Archivo encargado de comunicar la modificación de los archivos a través de un audio (de la misma forma en que lo hace otra versión de ransomware: Cerber Ransomware).
» hxxp://virusdotexe.bplaced.net/index.html: Notifica al usuario la cantidad de dinero requerida para recuperar la información.
» hxxp://virusdotexe.bplaced.net/razy.jpg: Imagen de notificación.
» hxxp://download1595.mediafire.com/fqgkigvn94og/8dnx9roncd0xamb/razydecrypt.jpg: Archivo definido en el código fuente pero no es creado.

Como dato curioso parece ser que el creador olvido notificar en alguna parte la cuenta Bitcoin a la cual se debería hacer la transferencia de dinero :-D, además de que el password nunca es transferido a un servidor de C&C por lo que no es posible relacionar cada usuario con su contraseña correspondiente.

Descarga