вторник, 15 ноября 2016 г.

Crypton

Crypton Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью схеиы AES + RSA, а затем требует выкуп в биткоинах от 0,2 до 2 биткоинов, чтобы вернуть файлы. Название оригинальное, есть в коде программы.
Этимология названия
1. Crypton — алгоритм симметричного блочного шифрования (размер блока 128 бит, ключ длиной до 256 бит), разработанный в 1998 году. Конструкция алгоритма опирается на алгоритм SQUARE. При шифровании используются ключи шифрования нескольких фиксированных размеров — от 0 до 256 бит с кратностью 8 битов. 
2. В комиксах, фильмах и мультипликации Криптон (Krypton)  родная планета Супермена.

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение _crypt 
Так файл image.png станет файлом image_crypt.png

Анализ показал, что сначала в проекте было расширение .crypt, но потом его заменили на _crypt. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа написана на русском и английском языках. 
В каждой папке размещается текстовый файл  readme_encrypted.txt 
Другим информатором выступает блокировщик экрана, который появляется на русском или английском языке. 

Содержание текста о выкупе на русском:
Внимание!
Ваши данные зашифрованы!
Для расшифровки ваших данных, вам необходимо оплатить указанную ниже сумму.
Обратите внимание, что подтверждение платежа может занять какое то время (от 1 часа до 1 дня).
Все это время программа должна быть запущена, и иметь соединение с интернет.
После успешного подтверждения платежа - расшифровка запустится автоматически.
Подробнее о том как произвести оплату с помощью Bitcoin можно найти в сети internet.
Наример можно воспользоваться сервисом хттпs://xchange.cc/visa-mastercard-rur-to-bitcoin.html ...
Крайне не рекомендуется пытаться самостоятельно восстановить данные, или удалять эту программу! Это может привести к полной потере ваших данных навсегда! Для восстановления данных необходимо подключение к интернет.
Текущий статус:
Bitcoin адрес: ***
Сумма к оплате: *** BTC по курсу в валюте 
Проверить статус платежа

Содержание текста о выкупе на английском:
Attention!
All data on you PC is encrypted!
To decrypt your data, you need to pay the amounts shown below.
Please note that the payment confirmation may take some time (from 1 hour to 1 day).
All this time, the program must be running and have an internet connection.
After the successful confirmation of payment - decoding will start automatically.
Read more about how to make a payment using Bitcoin can be found on the internet network.
In destination address - specify the Bitcoin address, listed below.
Keep in mind that the services may charge a fee for the payment, it is important that we must ...
It is not recommended to attempt to recover the data, or remove this program! This can lead to a complete loss of your data forever! To restore data, you must be connected to the Internet.
Status:
Bitcoin address: ***
Payment amount: ***
check payment status

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

На ПК попадает файл-дроппер (см. ниже результаты анализа). 

Запустившись в первый раз шифровальщик создает копию себя в директории %AppData%\crypton.exe

На рабочем столе создаются следующие файлы: 
%Desktop%\[RUSSIAN CHARACTERS].rtf
%Desktop%\Tatiana_Photo2016\Print_01.jpg
%Desktop%\Tatiana_Photo2016\Print_02.jpg
%Desktop%\Tatiana_Photo2016\Print_03.jpg
%Desktop%\Tatiana_Photo2016\Print_04.jpg
%Desktop%\photo_tatiana2016.jpg

Список файловых расширений, подвергающихся шифрованию:
.7z, .cd, .cdr, .dat, .db, .dbf, .dbx, .doc, .docx, .htm, .html, .jpg, .mdb, .mht, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .rtf, .tbb, .tbn, .tiff, .txt, .vsd, .xls, .xlsx, .xml, .zip (31 расширение). 

Файлы, связанные с Crypton Ransomware:
[Encrypted_folder_name]\readme_encrypted.txt
%AppData%\crypton.exe
Crypton.exe - исполняемый файл вымогателя
Dloader_exe.exe - дроппер

Записи реестра, связанные с Crypton Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"crypton" = "%AppData%\Crypton.exe" - запись для автозагрузки
HKEY_CURRENT_USER\Software\Crypton\"mail" = "<Malware_file_name>.exe"
HKEY_CURRENT_USER\Software\Crypton\"lang" = "ru"
См. ниже гибридный анализ

Сетевые подключения и связи:
хттп://in.uniclever.net/  (109.201.142.56:80 Нидерданды)
хттп://in.uniclever.net/init
srv1.uniclever.net
srv2.uniclever.net
xchange.cc/visa-mastercard-rur-to-bitcoin.html

Примечательно, что по адресу in.uniclever.net грузится изображение Оскара Уальда. 

Результаты анализов:
Гибридный анализ >>
Гибридный анализ на дроппер >>
VirusTotal анализ >>
VirusTotal анализ на дроппер >>
Symantec: Ransom.Crypton >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crypton)
 *
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *