Tuesday, 12 April 2016

TeslaCrypt 4.0

Intro


Πριν απο μερικες εβδομαδες ξεκινησε να κυκλοφορει η νεα εκδοση του TeslaCrypt ransomware.Η κυρια διαφορα του με τις προηγουμενες εκδοσεις ειναι οτι για να γινουν decrypt τα αρχεια, το θυμα πρεπει να πληρωσει (Για προηγουμενες εκδοσεις, βλεπε εδω).
Πριν πουμε το οτιδηποτε, αξιζει να τονισουμε οτι ειδαμε πολλα samples του TeslaCrypt. Πολλα απο τα αυτα ειχαν αρκετες τεχνικες anti-debugging (π.χ cpuid) και ειχαν γινει packed/crypt με διαφορετικες μεθοδους.

Files Details

File Name: elstrans
MD5: 45fe60b0507e925a64c8a4a9eff277cd (Προκειται για το packed αρχειο)



TeslaCrypt


Το TeslaCrypt θα κανει encypt τα παρακατω αρχεια (Εικονα 1)

Εικονα 1




















Επειτα θα ξεκιναει να ψαχνει αρχεια ωστε γινει το encryption,το οποιο γινεται στο call που υπαρχει το comment. (Εικονα 2).

Εικονα 2
















Κοιταζοντας μεσα στο call που γινεται το encryption βλεπουμε οτι χρησιμοποιει βασικα API calls.(Εικονα 3).

Εικονα 3
















Μερικα Strings απο το unpacked αρχειο (Εικονα 4)

Εικονα 4
















Σημειωσεις

Οπως ειπαμε και πριν, υπαρχουν αρκετα samples του TeslaCrypt που ειναι packed/crypted με διαφορετικο τροπο. Για το συγκεκριμενο sample δεν αναφεραμε τον τροπο που εγινε unpack. Παρολαυτα, αν καποιος θελει να δοκιμασει να κανει unpacking, μπορει να "παιξει" με το stack window (Εικονα 5).

Εικονα 5