Análisis

» Hace uso del proceso WScript.exe para ejecutar el archivo virus.js
» Ejecuta el proceso WINWORD.EXE con opciones para evitar errores al momento de abrir el documento: document_0117c8.docx
» Hace uso del proceso rundll32.exe para ejecutar la librería recién creada: 3cc4b2d7f96.txt con ciertos valores de inicialización.
» Ejecuta el proceso mshta.exe para abrir la aplicación HTML: VAULT.hta la cual permite visualizar la pantalla de bloqueo que informa al usuario que los archivos han sido cifrados.
» Hace uso del proceso WMIC.exe para eliminar todos los posibles backups almacenados en el equipo y eliminar (o no hacer visible) cualquier posible error generado:
cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Crea los siguientes archivos:

» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VAULT.KEY
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)


Una vez se inicia el proceso de cifrado se definen los diferentes tipos de archivo que deben ser modificados:

.1cd, .cd5, .cda, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .ctz, .dbf, .doc, .docm, .docx, .docxml, .docz, .dwg, .jpeg, .jpg, .jpg2, .mdb, .pdf, .psd, .psdx, .rtf, .sqlite, .sqlite3, .sqlitedb, .xls, .xlsm, .xlsx, .zip, .zipx

Realiza conexiones con dos dominios en Internet, la primera conexión se realiza con el servidor de comando y control (vaultcatch.com) donde se reporta la nueva infección de un equipo.

Posteriormente se descarga el browser de TOR (en idioma Ruso a través del dominio torsource.com).

Total de dominios contactados por el troyano: gracias a Ronan (@yenos) por esta información.

» vaultcatch.com
» x1wave1.com
» x1source.com
» x1gate.com
» vault2gate.com
» vault1gate.com
» dismissedgate.com
» torsource.com
94.102.50.50 - NETHERLANDS

Es posible evidenciar la cadena de eventos y procesos activados desde el momento en que se abrió el documento (.docx) hasta el momento en que se realiza la instalación y ejecución del browser de TOR.

Una vez que ha sido instalado el nuevo explorador/browser se realiza una conexión con un dominio en la darknet (333e45lpjqrebknr.onion) en donde se especifican claramente todas las instrucciones para realizar el pago exitoso del rescate de la información que ha sido cifrada.

Dicho sitio Web cuenta con cuatro 4 menús los cuales cumplen con las siguientes funciones:


1. Оллата - Procedimiento para realizar el pago:

» Medio de pago a través de Bitcoins a la cuenta 1F1UbG2Qd8A7o87r4D7nW6SZa5XHpA1n49.
» El monto a pagar es de 0.438 BTC o 165 UDS, aunque puede llegar a ser proporcional a la cantidad y tamaño de los archivos cifrados, aparentemente el rango de precios puede oscilar entre 100 a 900 USD.
» Opción para congelar el precio de una “oferta” donde se define el valor de 1 BTC en 376.5 USD. Esto debido a que en ocasiones existen problemas o demoras durante la transacción.
» Recomendaciones para realizar primero transacciones de dinero pequeñas antes de ejecutar el pago completo del rescate.
» Se brinda información de los diferentes métodos para realizar la transacción, ya sea a través de exchangers o exchange.
» Se asegura al usuario que recibirá la llave requerida una vez se ha efectuado el pago.
» En el enlace список о6менников se puede encontrar más información de cómo se puede realizar el pago de manera óptima.

2. Соо6щения – Mensajes:

» Opción de chat con los atacantes donde se inicia la conversión con el mensaje “Мы открыты к диалогу. Пишите - We are open to dialogue. Write” que traduce estamos abiertos al dialogo.
» Máximo de mensajes: 4.
» Horario de atención (Ра6оцее время – Work Time) de lunes a viernes de 8:00 a 23:30 y sábados y domingos de 9:00 a 22:00.

3. Волросы – Preguntas: El detalle de cada uno de los enlaces que se pueden ver en la imagen está disponible en idioma inglés y español.

» Preguntas principales.
» Garantías.
» Opciones de recuperación.
» Formas de Pago.
» Otras.

4. восстановление – Recuperación de archivos:

» Opción para cargar un máximo de 4 archivos que serán descifrados como evidencia de que el software funciona adecuadamente.
» Dichos archivos deben ser menores de 1Mb y deben tener una extensión .jpg, .jpeg, .doc, .xls, .docx, .xlsx o .pdf.

Descarga