lunes, 17 de julio de 2017

Analizando REYPTSON: Ransomware dirigido a hispanohablantes




Esto es lo que nos encontramos una vez nuestros archivos quedan cifrados.

Nos topamos con un ransomware con temática Española, el mensaje de rescate se encuentra únicamente en este idioma, por lo que podemos concluir que el foco de esta amenaza esta dirigido a usuarios de habla hispana.


Ejecución del proceso


REYPTSON ejecuta un archivo con extensión .pdf dentro de la carpeta de %APPDATA% de Spotify. Enumera los discos instalados y cambia el archivo .pdf a SpotifyWebHelper.exe para hacerse pasar por una aplicación legítima, y se añade al registro de Windows con un script vbs para asegurarse su ejecución, cuyo nombre de tarea será "Spotify Web Helper v1.0". Descarga un archivo comprimido de http://www.melvinmusicals. com/facefiles/factura.pdf.rar llamado por el método enviador() que veremos más adelante.

El ransomware cuenta con una comprobación de la ruta de instalación de Firefox, y del cliente de correo de la misma marca, Thunderbird. ¿Para qué lo hace? Primero intenta obtener las credenciales del usuario que ya se encuentra guardado en el sistema, y luego se autopropaga por e-mail haciendo uso de estas credenciales. 
Comprobación de ruta de instalación de Thunderbird.

El correo que nos llegaría, con asunto Folcan S.L. Facturación, tendría el siguiente aspecto:


E-mail enviado a los usuarios robados de Thunderbird.

El alcance de este método de propagación, está por ver, pero es interesante verlo incluido dentro del ransomware. Como podemos ver a continuación, también recolecta los contactos almacenados en Thunderbird, a los que posteriormente les es enviado el correo anterior. 


Recolección de usuarios de Thunderbird.

Tenemos también el método AES_Encrypt, para el cifrado de archivos y modifica su extensión a ".REYPTSON":

Método de cifrado de archivos, llamado con outputFile + '.REYPTSON'

Se envía al usuario un enlace, con el identificador de su usuario accesible únicamente a través de la red TOR. 


Petición GET al servidor remoto con los datos de usuario
Finalmente, tenemos la nota de rescate, cuyo texto podemos ver a continuación:



Nota de acceso a los datos robados, que podemos ver al inicio del post 


De momento, la muestra es detectada por 34 motores antivirus. Ante este tipo de amenazas donde los antivirus pueden no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.


Detecciones en VirusTotal

Fernando Díaz 
fdiaz@hispasec.com