Thursday, 17 March 2016

Locky Ransomware-Javascript edition Γρηγορη Αναλυση

Intro


Σε προηγουμενο αρθρο δειξαμε πως να κανουμε unpack ενα απο τα πολλα samples του Locky, επειτα σχολιασαμε περιληπτικα ορισμενες απο τις λειτουργιες του. Tο ransomware Locky συνεχιζει να διαδιδεται μεσω e-mails, ομως αυτη τη φορα ομως μεσω ενος javascript αρχειου. Σε αυτο το αρθρο θα εξετασουμε τον dropper, καθως και την διαδικασια unpacking του κατεβασμενου αρχειου.

Files Details

File Name: XFJ1188367406.js
MD5 Hash: c5d7bfea1bcc47e6dfdcef9e833f3085

File Name: v4v5g45hg.exe
MD5 Hash: b1a158112b510d4a600ea3ccceae0dc5

Javascript File

Ανοιγοντας το αρχειο με το notepad( η οποιον editor προτιματε) βλεπουμε τον παρακατω κωδικα (Εικονα 1).

Εικονα 1
















Ο κωδικας οπως φαινεται ειναι obfuscated. Αφου "καθαρισουμε"  και επεξεργαστουμε τον κωδικα, καταληγουμε στο παρακατω URL (Εικονα 2)

Εικονα 2

















Locky Ransomware


Ανοιγουμε το αρχειο που κατεβαζει ο dropper στον Ollydbg και βαζουμε breakpoint στο VirtualFree call (οπως την προηγουμενη φορα). Παταμε F9 και σταματαμε εδω(Εικονα 3).

Εικονα 3
















Κανουμε step over (F8) μεχρι να φτασουμε στο παρακατω call (Εικονα 4).

Εικονα 4
















Στο stack window βλεπουμε τα arguments που δεχεται το call, κανουμε δεξι κλικ στο Arg3, επειτα Follow in Dump. Στο Dump window παρατηρουμε οτι το malware εχει γινει unpacked.

Strings του unpacked αρχειου