вторник, 5 апреля 2016 г.

CryptoMix

CryptoMix Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 5 биткоинов, чтобы вернуть файлы обратно. Чтобы оправдать такую завышенную сумму, вымогатели придумали сказку о том, что деньги пойдут на благотворительность. 

© Генеалогия: CryptoMix > CryptFIle2
© Генеалогия: CryptoMix > CryptoShield 1.0 > CryptoShield 2.0
© Генеалогия: CryptoMix > Revenge
© Генеалогия: CryptoMix > MOLE > MOLE 2.0
© Генеалогия: CryptoMix > Wallet
© Генеалогия: CryptoMix > AZER
© Генеалогия: CryptoMix > EXTE

Название связано с тем, что крипто-вымогатель представляет собой мешанину (mix) из других криптовымогателей: CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. Иногда его ещё называют CryptMix. Активность этого крипто-вымогателя пришлась на март-апрель-май 2016 г. 

К зашифрованным файлам добавляется расширение .code, но не простое, а составленное по шаблону (FILE_NAME.EXTENSION).id_(ID_MACHINE)_email_xoomx@dr.com_.code. 
Пример имени зашифрованного файла: photo.jpg.id_4cef26603863_email_xoomx@dr.com_.code

Записки с требованием выкупа помещаются во всех папках с файлами, а называются:
HELP_YOUR_FILES.html — название взято от CryptXXX
HELP_YOUR_FILES.txt — взято от Cryptowall 3.0, 4.0



Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSAj-2048 key, both public and private.
!!! ALL YOUR files were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with tne help of the private key and decrypt program, which is on our Secret Server
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining bitcoin now! , and restore your data easy way. 
If you have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions:
Contact us by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 12 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
E-MAIL1: xoomx@dr.com
E-MAIL2: xoomx@usa.com
YOUR_ID: 4cef26603863

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048.
Более подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
Как это произошло ?
!!! Специально для вашего ПК был создан персональный RSA-2048 ключ, и открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, переданного с компьютера через Интернет.
!!! Дешифрование файлов возможно только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере.
Что мне делать?
Есть два способа, которые вы можете выбрать: ждать чуда и увеличить цену в 2 раза, или начать получать Bitcoin прямо сейчас! , И восстановить данные легким путём. 
Если у вас есть действительно ценные данные, то лучше не тратить свое время, т.к. нет никакого другого пути получить ваши файлы, кроме как совершить платеж.
Подробные инструкции:
Свяжитесь с нами по email, пришлите ваш ID номер и ждите дальнейших указаний. Наш специалист свяжется с Вами за 12 часов.
Для подтверждения, что мы можем расшифровать ваши файлы - вы можете прислать нам 1 зашифрованный файл, и мы вернем вам его в расшифрованном виде. Это будет ваша гарантия.
E-Mail1: xoomx@dr.com
E-Mail2: xoomx@usa.com
Your_ID: 4cef26603863

Распространяется с помощью email-спама и вредоносных вложений, письма содержат ссылки на вредоносные веб-сайты, зараженные набором эксплойтов, которые используют уязвимости в браузерах пользователей и их плагинов для доставки и установки CryptMix. 

Попав на ПК жертвы, CryptoMix автоматически запускает сканирование и поиск 864 различных типов файлов. Потом CryptoMix пытается связаться со своим C&C-сервером, чтобы установить ключ для шифрования файлов (с алгоритмом AES-256). Если сервер недоступен или нет интернет-подключения, то CryptoMix будет шифровать файлы с одним из его основных ключей "в автономном режиме".

После завершения процесса шифрования, CryptoMix размешает записку с требованием выкупа, заимствуя HTML-записку у к/в CryptXXX, а TXT-записку — у CryptoWall.

Вымогатели, назвавшиеся Charity Team, предлагают вместе с уникальным ключом защиту ПК и бесплатную техническую поддержку для решения любых проблем с ПК в течение 3 лет. Деньги якобы будут потрачены на благотворительность, некие дети получат подарки и медицинскую помощь, а имя заплатившего 5 биткоинов будет в этом благотворительном списке. Через 24 часа сумма выкупа удвоится.

После шифрования теневые копии файлов удаляются. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1, .1st, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .4db, .73i, .7z, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af3, .aft, .afx, .agif, .agp, .ai, .aic, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .ar, .arc, .art, .artwork, .arw, .as, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asw, .asx, .asy, .at, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .ba, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bik, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .byu, .bz, .bza, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfg, .cfu, .cgm, .chart, .chord, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .cp, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .dat, .db, .db-shm, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dcs, .dct, .dcx, .dd, .ddl, .ddoc, .dds, .ded, .design, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djvu, .dm3, .dmo, .dmp, .dnc, .dne, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dts, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dxb, .dxf, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .err, .etf, .euc, .exr, .f, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi, .fic, .fid, .fif, .fig, .fil, .flac, .fli, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpt, .fpx, .ft7, .ft8, .ft9, .ftn, .fwdn, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gim, .gio, .gl, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hpp, .hs, .htm, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .igt, .igx, .ihx, .iiq, .imd, .indd, .info, .ink, .int, .ipx, .it, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jis, .jng, .joe, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .js, .jtx, .jxr, .kdb, .kdc, .kdi, .kdk, .key, .kic, .knt, .kon, .kpg, .kwd, .latex, .lay, .layout, .lbm, .lbt, .lgc, .lit, .ljp, .log, .ltr, .ltx, .lue, .lws, .lyt, .lyx, .m3d, .m3u, .m4v, .ma, .mac, .maf, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5, .mdb, .mdf, .mdn, .mdt, .me, .mft, .mgcb, .mgmx, .mgt, .min, .mkv, .mmat, .mng, .mnt, .mob, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .ocr, .odb, .odo, .ods, .odt, .of, .oft, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ow, .owc, .owg, .oyx, .oz, .ozb, .ozj, .p7s, .p96, .p97, .pages, .pal, .pano, .pap, .pas, .pbm, .pc3, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pf, .pfd, .pff, .pfs, .pfx, .pgf, .pgm, .phm, .php, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .pps, .ppt, .pptm, .pptx, .prw, .ps, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .pu, .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qvd, .r3d, .ra, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .readme, .rgb, .rib, .ris, .rl, .rle, .rli, .rm, .rp, .rpd, .rpt, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sav, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smi, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tar, .tb0, .tbn, .tcx, .tdf, .tdt, .teacher, .tex, .text, .tfc, .tg, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .to, .tp, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .uga, .unauth, .unity, .unx, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vb, .vbr, .vc, .vct, .vda, .vdb, .vec, .vml, .vnt, .vpd, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vw, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw (864 расширения). 

Копия исходного файла имеет в названии идентификатор инфицированного ПК:
C:\Users\pc\AppData\Roaming\AdobeFlashPlayer_4cef26603863.exe (AdobeFlashPlayer_(MACHINE_ID).exe)

Данные о зашифрованных файлах отправляются на C&C-сервер, расположенный на IP-адресах, приписанных к Украине. Ключи шифрования управляются и сохраняются с помощью компонента ola.php. Маршруты хранятся и управляются с помощью компонента d1.php со следующей структурой: /fs/l/d1.php?id=(ID_MAQUINA)&log=(PATH_TO_FILE). Первая жертва шифровальщика отмечена 24 апреля.

Используются и модифицируются следующие ключи реестра:
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader UpdateSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Adobe Reader Update32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AdobeFlashPlayerSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*AdobeFlashPlayers32
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeFirstVersionSoftWare
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeLicensionSoftWare

Email вымогателей
xoomx@dr.com и xoomx@usa.com

Результаты анализов: 
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: высокая, включая новые итерации.
Подробные сведения собираются.

Обновление от 14 декабря 2016:
Пост в Твиттере >>
Файлы: radEF352.tmp.exe
Фальш-имя: Microsoft Decode Ransomware
Расширение: .lesli
Шаблон: .email[supl0@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl0@post.com, supl0@oath.com
Результаты анализов: VT, HA


Обновление от 9 января 2017:
Пост в Твиттере >>
Файл: MS SecurityFiles.exe
Фальш-имя: MS SecurityFiles.
Расширение: .lesli
Шаблон: .email[supl@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl@post.com, supl@oath.com
Результаты анализов: VT, HA

Обновление от 23 января 2017:
Пост в Твиттере >>
Файлы: Microsoft Decryptor Ransomware.exe
Фальш-имя: Security SoftWare Shield
Расширение: .email_id.rdmk или .email[email_ransom]_id[id_ransom].rdmk
Пример зашифр. файла: *filename*.email[*email*]_id[*id*].rdmk
Записка: INSTRUCTION RESTORE FILE.txt
Email: supls@post.com, supls@oath.com
Результаты анализов: VT

Обновление 31 января 2017:
CryptoMix > CryptoShield 1.0

Обновление 14 февраля 2017:
CryptoMix > CryptoShield 2.0

Обновление 14 февраля 2017:

CryptoMix > MOLE
Пост в Твиттере >>
Записка: INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT
<< Скриншот записки
Email: oceanm@engineer.com, oceanm@india.com
Шаблон зашифрованного и переименованного файла: <random_hex [0-9, A_Z] {32}>.MOLE
Пример зашифрованного и переименованного файла: 0AB5F30F23AB8B8AC537A07123C45066.MOLE
Аналогичная схема присвоения имен и поддельные оповещения как у CryptoMix.

Обновление от 21 июля 2017: 
Пост в Твиттере >>
Файлы: <random>.exe
Фальш-имя: InfoVxtreme
Расширение: .CK
Записка: _HELP_INSTRUCTION.TXT
Email: ck01@techmail.info, ck02@decoymail.com, ck03@protonmail.com
Результаты анализов: VT

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .ZERO
Записка: _HELP_INSTRUCTION.TXT
Email: zero@hook.work
Результаты анализов: HA+VT, +VT

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .DG
Файл: Labs.exe
Записка: _HELP_INSTRUCTION.TXT
Результаты анализов: VT
Hello!
Содержание записки: 
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your id number:
dg01@msgden.net
dg02@armormail.net
dg01@protonmail.com
We will help you as soon as possible!
DECRYPT-ID-********** number

© Amigo-A (Andrew Ivanov): All blog articles.


ВНИМАНИЕ! 
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *