Maktub Locker un ransomware muy bien diseñado
Maktub Locker es otro ransomware que viene con una interfaz gráfica de usuario muy bien diseñado y algunas características interesantes. Su nombre proviene de la palabra árabe Maktub que quiere decir "esto está escrito" o "este es el destino". Los autores fueron probablemente tratando de hacer una broma haciendo referencia al acto de ser infectado con el ransomware, dando a entender que es sin invitación e inevitable, al igual que el destino.
Las muestras analizadas
- 74add6536cdcfb8b77d10a1e7be6b9ef
- b24952857ff5cb26b2e97331800fa142 <- foco principal de este análisis
- 38eff2f7c6c8810a055ca14628a378e7 - carga útil (C.dll)
Un agradecimiento especial a MalwareHunterTeam y Yonathan Klijnsma para compartir las muestras.
El análisis del comportamiento
Este ransomware viene en una campaña de spam, que pretende ser un documento con una actualización de la relación de servicio. Esta vez embalaje completo tiene un tema recurrente: nombre del archivo adjunto se hace para asemejarse a un documento (ejemplos: "TOS-Actualización: [...] .scr", "20160321_tos.scr"), también tiene aa-icono de documento como:
Un truco interesante utilizado por este ransomware para que simule el comportamiento legítimo es que realmente muestra un documento! En concreto, una actualización de TOS falsa en .rtf formato:
Mientras el usuario está ocupado la lectura del documento, el programa malicioso se ejecuta en segundo plano y encripta su / sus archivos.
Maktub Locker no necesita descargar una clave desde el servidor CNC - se puede cifrar los datos fuera de línea también. Extensiones dadas a los archivos cifrados son aleatorios, generados en tiempo de ejecución - su patrón es: [az] {4,6}
El nuevo y sorprendente de todo es que los archivos cifrados son mucho más pequeños que los originales.Parece que este ransomware no sólo encripta sino que también comprime los archivos.
Los archivos originales y sus tamaños:
Los mismos archivos después del cifrado:
Véase a continuación una visualización de bytes.
square.bmp : a la izquierda - original, haga cifrada con Maktub Locker :
^ - El mapa de bits se comprime muy bien, por lo que el archivo cifrado es pequeña
Una posible razón de compresión de archivos en primer lugar es para acelerar el proceso de cifrado.
El contenido cifrado es diferente en cada ejecución de la muestra. Sin embargo, en una sola pasada, los archivos con el mismo contenido le dará la misma salida. Podemos concluir que la clave aleatoria se genera sólo una vez - al comienzo del programa. Después de eso, cada archivo se cifra utilizando la misma clave.
Una vez finalizada la codificación, la siguiente interfaz gráfica de usuario aparece:
Proporciona una víctima de una clave personalizada con formato: 82 trozos, cada uno de 5 caracteres de largo (segmento de formato: [A-Z0-9] {5}). Cada vez que se ejecuta la muestra, esta clave se acaba de generar.
La misma información (y el diseño) se pueden encontrar en un archivo HTML ( _DECRYPT_INFO _ [$ EXTENSIÓN] .html ), cayeron en cada directorio encriptado.
En estos días, es una característica común de ransomware para proporcionar un sitio web TOR-visitada por la víctima y Maktub Locker no es diferente. Al igual que en la nota de rescate, el sitio web sólo está disponible en Inglés. Con el fin de acceder a la página individual, la víctima se supone que pega su / su llave (el suministrado en la nota de rescate) en la casilla correspondiente en la página web.
A continuación se redirecciona a la página web principal. En comparación con otras familias ransomware, Maktub Locker en realidad tiene un sitio web muy bien diseñado, incluyendo el lenguaje utilizado limpio y educado.
Viene con una demo, lo que permite la descodificación de 2 archivos seleccionados:
El precio de los archivos de descifrado se inicia con 1,4 BTC y aumenta con el tiempo. Los distribuidores advierten que la página web se puede tomar abajo y entonces no sería posible recuperar los archivos cifrados: