понедельник, 4 апреля 2016 г.

CryptoBit

CryptoBit Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1-2 биткоина или больше, чтобы вернуть файлы. Название оригинальное. Параллельно распространялась другая версия этого крипто-вымогателя, которая описана у нас под названием Mobef, но несмотря на возможное родство, имеются различия технического и визуального характера. 

© Генеалогия: CryptoBit ⟺ Mobef  (см. Генеалогия)

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на апрель 2016 г. Также замечен в ряде вредоносных кампаний лета 2016 года (июнь-июль). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Не путайте с CryptorBit!

Записки с требованием выкупа называются по разному. В данной статье это:
OKSOWATHAPPENDTOYOURFILES
helloreadmenow23.TXT
helloreadmenow24.TXT
Содержание записки о выкупе:
Your ID: 589*****
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: torrenttracker@india.com
If you don't get a reply or if the email dies, then contact me using Bitmessage:
download it form here
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY***

Перевод записки на русский язык:
Ваш ID: 589*****
***
Привет. Ваши файлы теперь зашифрованы. У меня есть ключ для дешифровки их обратно. Я дам вам декриптер, если вы заплатите мне. Если вы платите мне сегодня, цена будет всего 1 биткоин.
Если вы платите мне завтра, вам придется заплатить 2 биткоина. Если вы платите мне через неделю, цена будет 7 битконов и так далее. Итак, поторопитесь.
Свяжитесь со мной, используя этот адрес email: torrenttracker@india.com
Если вы не получите ответа или если email закроют, то свяжитесь со мной, используя Bitmessage:
загрузите его здесь
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Запустите его, нажмите кнопку "New Identity", а затем отправьте мне сообщение на BM-NBvzKEY***

Последующее развитие привело к изменению информационной составляющей вымогательского процесса. 


Содержание текстовых записок поменялось:
ID:[six_or_seven-digit number in the 900,000 or 7,000,000 range]
PC:[host name]
USER:[user name]
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE EMAIL ME AT:
epiclesiseprotonmail.ch + kyklostscryptmail.com + malakia«opemnailbox.org + sycophanttsigaint.org
Send an email to all these addresses, just in case, sometimes emails get lost.
Don't forget to check your spam/junk folder later, most likely my reply will end up there.
If you want to remain anonymous or if you aren't getting a reply, please try using bitmessage (bitmessage.org) and use this address to contact me: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. This method will work 100%.
Encrypted files LOG: C:\users\(user name]\Documents\[six_or_seven-digit number].log

Перевод на русский язык:
ID: [6-7-значное число в диапазоне 900.000 или 7.000.000]
PC: [имя хоста]
USER: [имя пользователя]
Если вы хотите получить все файлы обратно, пожалуйста, напишите мне по адресу:
epiclesiseprotonmail.ch + kyklostscryptmail.com + malakia «opemnailbox.org + sycophanttsigaint.org
Отправьте по email на все эти адреса, на всякий случай, иногда письма теряются.
Не забудьте проверить папку спам/нежелательные, позже, скорее всего, мой ответ окажется там.
Если вы хотите сохранить анонимность, или если вы не получаете ответ, пожалуйста, попробуйте использовать bitmessage (bitmessage.org) и этот адрес для контакта со мной: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. Этот метод будет работать на 100%.
Зашифрованные файлы LOG: C:\users\(user name]\Documents\[6-7-значное число].log

Распространяется с помощью email-спама и вредоносных вложений, веб-инжектов и эксплойтов (RIG и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

CryptoBit, попав на компьютер, первым делом проверяет по своему запрещающему списку языки клавиатуры. При использовании пользователем одного из определённых кодов языков (0x1a7, 0x419 – русский или 0x43f — казахский), шифрование файлов прерывается. Если языки клавиатуры не входят в этот список, то CryptoBit производит по всем локальным дискам, сетевым папкам и съёмным устройствам (USB) поиск целевых файлов и производит их шифрование. 

После шифрования AES-ключа с помощью RSA, он будет храниться в файле "sekretzbel0ngt0us.KEY" (в разных версиях названия другие), и будет понятен только при наличии соответствующего закрытого ключа RSA.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7zip, .accdb, .accdt, .aep, .aes, .arj, .bpw, .cdr, .cer, .crp, .crt, .csv, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .idx, .ifx, .iso, .jpg, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp,.ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip  (96 расширений). 
Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.tmp.exe
<random>.exe
OKSOWATHAPPENDTOYOURFILES.TXT
sekretzbel0ngt0us.KEY
helloreadmenow23.TXT, helloreadmenow24.TXT и пр., цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23 - цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24 - цифры по дате

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTION.txt
[date]-INFECTIONE.txt
[date]000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]

HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
realstatistics.info
kjyrxilohcowy.dyndns.org
smobutdobesy.dyndns.org
laoismacau.com
videodrome69.net***
bitmessage.org
epiclesis@protonmail.ch
kyklos@lelantos.org
kyklos@scryptmail.com
malakia@anoninbox.net
malakia@openmailbox.org
sycophant@sigaint.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID Mobef)
 Write-up
 *
 *
 Thanks: 
 PandaSecurity
 PaloAltoNetworks
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *