Troyano Ransomware: Tobfy.M / LockScreen.AXE

Este es un resumen del análisis realizado a este troyano; el cual bloquea el equipo infectado (al igual que todos los de esta clase) con una imagen correspondiente a una organización gubernamental del mismo país origen. Parece que aun no existe una opción para Colombia ya que en mi caso mostro la siguiente imagen:

1.png

1. Descarga la imagen desde la dirección: _hxxp://jkijjjkkji.rapsodia-networks.ru/get.php?id=11

2. Cifra los archivos con los formatos: *.jpeg, *.jpg, *.pdf, *.pptx, *.ppt, *.xlsx, *.xls, *.rtf, *.docx, *.doc, *test.txt

3. Cada byte del archivo es cifrado a través de la función XOR y la clave Pr1v37*Fr0m*Be10Ru551a al momento de escribir los datos ya cifrados inicia con la cadena *AES* para confundir o interferir con el proceso de análisis.

4. Finalmente cambia la extensión de los archivos a .ENCRYPTED_AND_LOCKED

ANALISIS DETALLADO: [hide]Nyxbone - Malware: Troyano Tobfy / LockScreen AXE[/hide]

Saludos a todos, cualquier comentario o sugerencia será bienvenido.

Mosh

Comentarios

Accede o Regístrate para comentar.