пятница, 17 марта 2017 г.

CrptXXX

CrptXXX Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на сайт, чтобы узнать, как вернуть файлы. Название от используемого расширения.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CrptXXX > BTCWare

К зашифрованным файлам добавляется расширение .crptxxx

Активность первого образца крипто-вымогателя пришлась на начало марта 2017 г., другой был обнаружен уже в середине марта. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt, HOW_TO_DECRYPT.txt - вариант от 8 марта
HOW_TO_FIX_!.txt - вариант от 16 марта

Содержание записки о выкупе от 16 марта:
Warning!
All your files have been encrypted with AES
If you want to restore them, use this instructions:
1) Download tor browser
2) Run tor and go to: xxxx://dokg5gcojuswihof.onion
Or you can use tor2web services
xxxx://dokg5gcojuswihof.onion.to
In login panel enter your personal ID: %id%
Follow next instructions on website
If server is down - try connect later
!! Decoders from other users are not compatible with your data, because each users unique encryption key !!
!! Do not try to decrypt your data using third party software, it may cause permanent data loss. !!

Перевод записки на русский язык:
Предупреждение!
Все ваши файлы были зашифрованы с AES
Если хотите вернуть их, используйте эти инструкции:
1) Загрузите Tor-браузер
2) Запустите tor и откройте: xxxx://dokg5gcojuswihof.onion
Или используйте службы tor2web
xxxx://dokg5gcojuswihof.onion.to
В панели входа введите свой личный ID: *****
Следуйте инструкциям на веб-сайте
Если сервер не работает, попробуйте позже.
!! Декодеры от других пользователей несовместимы с вашими данными, т.к. у каждого пользователя уникальный ключа шифрования!
!! Не пытайтесь расшифровать данные с помощью чужих программ, это  приведёт к потере данных. !!


Сайт вымогателей в сети Tor

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует метод @enigma0x3's UAC bypass для обхода UAC. 

Список файловых расширений, подвергающихся шифрованию:
.1c, .3fr, .accdb, .ai, .arw, .bac, .bay, .bmp, .cdr, .cer, .cfg, .config, .cr2, .crt, .crw, .css, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .gif, .htm, .html, .indd, .iso, .jpe, .jpeg, .jpg, .kdc, .lnk, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srw, .tif, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (94 расширения без дублей).  

Список расширений в другой версии (от 1 мая 2017):
.1c, .3fr,  .6cm, .8cm, .8svx, .a2b, .a2i, .a2m, .a2p, .a2t, .a52, .aa, .aa3, .aac, .aax, .abc, .abm, .ac3, .accdb, .acd, .acd-bak, .acd-zip, .acm, .acp, .act, .adg, .adts, .adv, .afc, .agm, .agr, .ahx, .ai, .aif, .aifc, .aiff, .aimppl, .ais, .akp, .al, .alac, .alaw, .all, .als, .amf, .amr, .ams, .amxd, .amz, .aob, .ape, .apf, .apl, .aria, .ariax, .arw, .ase, .at3, .atrac, .au, .aud, .aup, .avastsounds, .awb, .ay, .b4s, .bac, .band, .bap, .bay, .bcs, .bdd, .bidule, .bmml, .bmp, .bonk, .box, .brstm, .bun, .bwf, .bwg, .bww, .c01, .caf, .caff, .cda, .cdda, .cdlx, .cdo, .cdr, .cel, .cer, .cfa, .cfg,  .cgrp, .cidb,.cine, .cip, .ckb, .ckf, .clpi, .cmf, .cmmp, .cmmtpl, .config, .cr2, .crt, .crw, .css, .csv, .cvc, .cx3, .d2v, .d3v, .dash, .dat, .dav, .db, .dbf, .dce, .dck, .dcr, .ddat, .der, .dif, .dir, .divx, .dlx, .dmb, .dmsd, .dmsd3d, .dmsm, .dmsm3d, .dmss, .dmx, .dnc, .dng, .doc, .docm, .docx, .dpa, .dpg, .dream, .dv, .dv4, .dv-avi, .dvr, .dvr-ms, .dvx, .dwg, .dxf, .dxg, .dxr, .dzm, .dzp, .dzt, .edl, .eps, .erf, .evo, .eye, .f4f, .f4p, .f4v, .fbr, .fbz, .flc, .flh, .fli, .flv, .flx, .ftc, .gfp, .gif, .gl, .gom, .grasp, .gts, .gvi, .gvp, .h264, .hdmov, .hdv, .hkm, .htm, .html, .ifo, .imovieproject, .indd, .ircp, .irf, .ismc, .ismv, .iso, .iva, .ivf, .ivr, .ivs, .izz, .izzy, .jmv, .jpe, .jpeg, .jpg, .jss, .jts, .jtv, .k3g, .kdc, .kmv, .lnk, .lrec, .lrv, .lsf, .lsx, .lvix, .m15, .m1pg, .m1v, .m21, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .prx, .psd, .psh, .pssd, .pst, .ptx, .pva, .pvr, .pxv, .qt, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sbg, .sbi, .sbk, .sc2, .scs11, .sd, .sd2, .sd2f, .sdat, .sdii, .sds, .sdx, .seg, .ses, .sesx, .sf, .sf2, .sfap0, .sfk, .sfl, .sfpack, .sgp, .shn, .sib, .sid, .slx, .smf, .smp, .smpx, .snd, .sng, .sns, .snsf, .sou, .sph, .sppack, .spx, .sql, .sr2, .srf, .srw, .sseq, .ssnd, .stm, .stx, .sty, .svd, .svx, .sw, .swa, .swav, .sxt, .syh, .syn, .syw, .syx, .tak, .td0, .tfmx, .thx, .tif, .tm2, .tm8, .tmc, .toc, .trak, .tsp, .tta, .tun, .txw, .u, .u8, .ub, .ulaw, .ult, .ulw, .uni, .usf, .usflib, .ust, .uw, .uwf, .v2m, .vag, .val, .vap, .vc3, .vdj, .vgm, .vlc, .vmd, .vmf, .vmo, .voc, .voi, .vox, .voxal, .vpl, .vpm, .vpw, .vqf, .vrf, .vs, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (379 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
binz.exe
mtrea.exe
HOW_TO_FIX_!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://m5r2t7rwszffszra.onion
xxxx://m5r2t7rwszffszra.onion.to
xxxx://dokg5gcojuswihof.onion
xxxx://dokg5gcojuswihof.onion.to
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrptXXX)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam, Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *