понедельник, 18 апреля 2016 г.

CryptXXX, CryptXXX 2.0

CryptXXX Ransomware

CryptXXX 2.0 Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью RSA4096, а затем требует выкуп в 1.2 BTC (на момент публикации это было равно $500), чтобы вернуть файлы.  Если выкуп не оплачен в течение определенного периода времени, то сумма возрастает в два раза, т.е. до 2,4 BTC. Если выкуп не уплачен в срок, закрытый ключ будет навсегда удален и тогда расшифровка файлов будет невозможна. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptXXX > CryptXXX 2.0 > CryptXXX 3.0 > CryptXXX 4.0

К зашифрованным файлам добавляется расширение .crypt

Ранняя активность этого крипто-вымогателя пришлась на середину апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 


Скриншоты и описание


Записки с требованием выкупа называются:
de_crypt_readme.txt
de_crypt_readme.bmp
de_crypt_readme.html

Размещаются в каждой папке, содержащей зашифрованные файлы. 

Запиской с требованием выкупа также выступает скринлок, встающий обоями рабочего стола и сайт оплаты выкупа:
 
Основная записка о выкупе

Изображение, встающее обоями рабочего стола 

Сайт с условиями оплаты, поддерживающий 11 языков 
(EN, IT, FR, ES, DE, JP, NL, PL, PT, TR, CN)

Содержание основной записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.qooqle.com
What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: https://en.wikipedia.org/wiki/RSA_(crvptosvstem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal id D78*****E87
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. xxxx://rp4roxeuhcf2vgft.onion.to
2. xxxx://rp4roxeuhcf2vgft.onion.cab
3. xxxx://rp4roxeuhcf2vgft.onion.city
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: xxxxs://torproject.org/projects/torbrowser.html.en
2. Video instruction: xxxxs://www.youtube.com/watch?v=NQrUZdsw2hA
3. After a successful installation, run the browser
4. Type in the address bar: http://rp4roxeuhcf2vgft.omon
5. Follow the instructions on the site.

Перевод основной записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.qooqle.com
Что случилось с твоими файлами?
Все твои файлы были защищены сильным шифрованием с RSA4096
Более подробную информацию о ключах шифрования с помощью RSA4096 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(crvptosvstem)
Как это произошло?
!!! Специально для твоего ПК был создан личный ключ RSA4096, открытый и закрытый.
!!! ВСЕ ТВОИ ФАЙЛЫ были зашифрованы открытым ключом, который был передан на твой компьютер через Интернет.
!!! Расшифровка твоих файлов возможна только с помощью секретного ключа и программы расшифровки, которые находятся на нашем секретном сервере.
Что мне делать ?
Итак, ты можешь выбрать два способа: дождаться чуда и получить двойную цену или начать получать BITCOIN СЕЙЧАС! , и легко восстановить твои данные. Если ты ценишь свои данные, то лучше не тратить время, т.к. нет другого способа получить твои файлы, кроме оплаты.
Твой личный идентификатор D78*****E87
Для получения более конкретных инструкций, посети свою личную домашнюю страницу, есть несколько разных адресов, указывающих на твою страницу ниже:
1. xxxx://rp4roxeuhcf2vgft.onion.to
2. xxxx://rp4roxeuhcf2vgft.onion.cab
3. xxxx://rp4roxeuhcf2vgft.onion.city
Если по каким-либо причинам адреса недоступны, выполни следующие действия:
1. Загрузи и установи tor-браузер: xxxxs://torproject.org/projects/torbrowser.html.en
2. Видео-инструкция: xxxxs://www.youtube.com/watch?v=NQrUZdsw2hA
3. После успешной установки запусти браузер
4. Введи в адресную строку: http://rp4roxeuhcf2vgft.omon
5. Следуй инструкциям на сайте.


Технические детали


CryptXXX распространяется путём взлома с помощью email-спама и вредоносных вложений, обманных загрузок, набора эксплойтов Angler EK, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

👉 15 апреля 2016 года, исследователи Proofpoint заметили, что троян-загрузчик Bedep загружает набор эксплойтов Angler и банковский троян Dridex 222. Им стало ясно, что для распространения CryptXXX злоумышленники используют набор эксплойтов Angler и Bedep, загружающий других троянов на зараженные системы и инициирующий мошеннические клики. Позже установлена связь CryptXXX и группы Reveton Team. 

Дополнительный функционал CryptXXX 
Проверяет имя процессора в системном реестре.
Проверяет работу в виртуалке, а также наличие отладчиков и инструментов анализа. 
Устанавливает процедуру для мониторинга событий мыши и её заменителей.
Собирает данные об установленных на ПК приложениях для мгновенного обмена сообщениями, почтовых клиентах, FTP-менеджерах и браузерах. 
Похищает с компьютера биткоины, пароли, учетные данные и другую важную информацию. 

По словам экспертов Proofpoint, некоторые признаки указывают на то, что авторство CryptXXX принадлежит создателям Angler EK, троянов Bedep и Reveton. Они также предполагает, то CryptXXX вскоре получит большее распространение.

Подробности работы цепочки "выкуп-дешифровка" см. на сайте Proofpoint.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
%AppData%\[id].dat
%Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
%Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
%Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
%Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Расположения:
%AppData%
%Temp%

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
146.0.42.68 - сервер CryptXXX 
104.193.252.245 - IP C&C Bedep 
rp4roxeuhcf2vgft.onion.to - сайт оплаты
rp4roxeuhcf2vgft.onion.cab - сайт оплаты
rp4roxeuhcf2vgft.onion.city - сайт оплаты
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать RannohDecryptor для дешифровки >>
Работает только для CryptXXX и CryptXXX 2.0
*
 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as CryptXXX + 2.0, 3.0, 4.0)
 Write-up by Proofpoint, Write-up on BC
 * 
SecureList: Dridex: A History of Evolution (add. May 25, 2017)
 Thanks: 
 Kafeine (Proofpoint)
 Michael Gillespie
 KasperskyLab
 Lawrence Abrams
 Symantec 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *