Ransom TowerWeb # Shitware
Żeby powiększyć trza zapisać lub otworzyć w nowej karcie.
Charakterystyka:
malware korzysta z NET Framework (może być wykrywany przez programy av jako MSIL)
[assembly: AssemblyVersion("1.0.0.0")]
[assembly: Debuggable]
[assembly: AssemblyCompany("Hewlett-Packard")]
[assembly: AssemblyConfiguration("")]
[assembly: AssemblyCopyright("Copyright © Hewlett-Packard 2016")]
[assembly: AssemblyDescription("")]
[assembly: AssemblyFileVersion("1.0.0.0")]
[assembly: AssemblyProduct("anonpop")]
[assembly: AssemblyTitle("anonpop")]
[assembly: AssemblyTrademark("")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: ComVisible(false)]
[assembly: Guid("b96b4695-16f1-43d1-93a9-6a66de164988")]
[module: ConfusedBy("ConfuserEx v0.6.0")]
Posiada pięć sekcji - jedna jest nietypowa o współczynniku anomalii 7.889
Doaje się do autostartu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run jako My app
uzyskuje dostęp do sieci przez usługę DNSResolver
anonpop C:\Users\RafaB \Desktop\1.exe
nawiązuje połączenie wychodzące (TCP)
Adres=www.kipibank.com(205.144.171.139) Port=80
151.249.92.71
zostaje zmodyfikowany klucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\shutdown\
zostaje dodany komunikat: Pay Your Ransom to Get Your Files and Computer Back. Shutting Down In 60 Seconds. Email: [email protected] for assistance."
uruchomia aplikację:
C:\Windows\System32\shutdown.exe (w celu zamykania systemu)
zostaje dodana subdomena do klucza: HKEY_USERS\S-1-5-21-3536143562-3202178637-1203078308-1000\Software\Microsoft\Internet Explorer\DOMStorage\kipibank.com\
Running Processes\1.exe\Opened Handles\ :
Pomocniczy Sterownik funkcyjny Winsock \Device\Afd
Sterownika urządzenia \Device\KsecDD
NSI proxy service driver \Device\Nsi (Modyfikuje ustawienia proxy) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Odczytuje informacje o obsługiwanych językach HKLM\SYSTEM\ControlSet001\Control\Nls
opuszcza pliki: c:\Users\RafaB\AppData\Local\Dane aplikacji\Microsoft\Internet Explorer\DOMStore\SVC8WQZK\ mod
mod:
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCRQ6PG1\ mod anon[1].jpg
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\I7C6CUUH\ mod i2[1].htm
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\WASQ63ZS\ mod counter[1].js
Czyta pliki konfiguracyjny desktop.ini
Dodaje mutexy
Modyfikuje c:\Documents and Settings\Rafał\AppData\Roaming\Microsoft\Windows\Cookies\
dodaje: O80TEEDR.txt
zawartośc:
is_unique
sc11010822.1466928870.0
statcounter.com/
2147484672
523400960
30894490
3270371934
30527362
*
is_visitor_unique
1466928870299569584
statcounter.com/
2147484672
3034461952
30674213
3270527934
30527362
*
dodaje: E552R6H7.txt
zawartośc:
sc_is_visitor_unique
rx11010822.1466928869.A47AFF56D6E04F92685B92AEF398B5E7.1.1.1.1.1.1.1.1.1
3024461952
30674213
3267095928
30527362
*
Komputer próbuje się wyłączyć po 60 sekundach
Podczas ponownego uruchomienia komputera, maszyna będzie zamykana co 60 sekund chyba że zapłacimy teoretyczny okup
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Treść widoczna jedynie dla zarejestrowanych użytkowników
Żeby powiększyć trza zapisać lub otworzyć w nowej karcie.
[Aby zobaczyć linki, zarejestruj się tutaj]
Charakterystyka:
malware korzysta z NET Framework (może być wykrywany przez programy av jako MSIL)
[assembly: AssemblyVersion("1.0.0.0")]
[assembly: Debuggable]
[assembly: AssemblyCompany("Hewlett-Packard")]
[assembly: AssemblyConfiguration("")]
[assembly: AssemblyCopyright("Copyright © Hewlett-Packard 2016")]
[assembly: AssemblyDescription("")]
[assembly: AssemblyFileVersion("1.0.0.0")]
[assembly: AssemblyProduct("anonpop")]
[assembly: AssemblyTitle("anonpop")]
[assembly: AssemblyTrademark("")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: ComVisible(false)]
[assembly: Guid("b96b4695-16f1-43d1-93a9-6a66de164988")]
[module: ConfusedBy("ConfuserEx v0.6.0")]
Posiada pięć sekcji - jedna jest nietypowa o współczynniku anomalii 7.889
[Aby zobaczyć linki, zarejestruj się tutaj]
Doaje się do autostartu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run jako My app
uzyskuje dostęp do sieci przez usługę DNSResolver
anonpop C:\Users\RafaB \Desktop\1.exe
nawiązuje połączenie wychodzące (TCP)
Adres=www.kipibank.com(205.144.171.139) Port=80
151.249.92.71
zostaje zmodyfikowany klucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\shutdown\
zostaje dodany komunikat: Pay Your Ransom to Get Your Files and Computer Back. Shutting Down In 60 Seconds. Email: [email protected] for assistance."
uruchomia aplikację:
C:\Windows\System32\shutdown.exe (w celu zamykania systemu)
zostaje dodana subdomena do klucza: HKEY_USERS\S-1-5-21-3536143562-3202178637-1203078308-1000\Software\Microsoft\Internet Explorer\DOMStorage\kipibank.com\
Running Processes\1.exe\Opened Handles\ :
Pomocniczy Sterownik funkcyjny Winsock \Device\Afd
Sterownika urządzenia \Device\KsecDD
NSI proxy service driver \Device\Nsi (Modyfikuje ustawienia proxy) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Odczytuje informacje o obsługiwanych językach HKLM\SYSTEM\ControlSet001\Control\Nls
opuszcza pliki: c:\Users\RafaB\AppData\Local\Dane aplikacji\Microsoft\Internet Explorer\DOMStore\SVC8WQZK\ mod
[Aby zobaczyć linki, zarejestruj się tutaj]
[1].xmlmod:
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCRQ6PG1\ mod anon[1].jpg
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\I7C6CUUH\ mod i2[1].htm
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\WASQ63ZS\ mod counter[1].js
Czyta pliki konfiguracyjny desktop.ini
Dodaje mutexy
Modyfikuje c:\Documents and Settings\Rafał\AppData\Roaming\Microsoft\Windows\Cookies\
dodaje: O80TEEDR.txt
zawartośc:
is_unique
sc11010822.1466928870.0
statcounter.com/
2147484672
523400960
30894490
3270371934
30527362
*
is_visitor_unique
1466928870299569584
statcounter.com/
2147484672
3034461952
30674213
3270527934
30527362
*
dodaje: E552R6H7.txt
zawartośc:
sc_is_visitor_unique
rx11010822.1466928869.A47AFF56D6E04F92685B92AEF398B5E7.1.1.1.1.1.1.1.1.1
[Aby zobaczyć linki, zarejestruj się tutaj]
16003024461952
30674213
3267095928
30527362
*
Komputer próbuje się wyłączyć po 60 sekundach
Podczas ponownego uruchomienia komputera, maszyna będzie zamykana co 60 sekund chyba że zapłacimy teoretyczny okup