понедельник, 6 марта 2017 г.

CryptoJacky

CryptoJacky Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 250 Евро в биткоинах, чтобы вернуть файлы. Оригинальное название: CryptoJacky v2.0. Позже добавлена версия 3.0. Разработчик: paulej. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Шифрует только файлы с расширением .xxx, добавляя затем к ним расширение .aes

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
ransom-instructions.lnk - записка о выкупе (1);
ransom-information.lnk - записка о выкупе (2);
ransom-payment.url - ссылка на сайт оплаты. 
CryptoJackyCryptoJacky Ransomware
Скриншоты 2-й и 3-й версий (скриншот 3-й версии справа)

Содержание записок о выкупе:
(1) rescate de archivos-instrucciones
Para comprar la contraseña haga click en el ícono "ransom-payment". Una vez abierto el link seleccione arriba del cuadro "list" y luego en la columna de la izquierda la opción con la que va a pagar, en la derecha seleccione bitcoins. Cliquee "Find the best rate". Vaya a alguno de los sitios que aparecerán a la derecha y compre EUR 250 de bitcoins a la siguiente dirección (con click dere- cho y luego pegar será ingresada donde quiera): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
Una vez hecho el pago hágamelo saber enviandome un correo a la siguiente dirección: ransom_ph@mail2noble.com
Siendo así, le será enviada la contraseña.
Haga click en "ransom of files" e ingrésela.-

(2) rescate de archivos-informacíon
Ransom_ph! ha detectado actividad inmoral en sus hábitos online y/o en su equi- po, siendo así me he visto en la obligación de retener sus archivos personales. Si usted desea comprar la contraseña para recuperar el control de los mismos, sirva- se seguir las intrucciones cliqueando en el archivo "ransom-instructions" que se- rá creado en el escritorio para tal fin. Nota: son tres íconos los que se crearán, si alguno no apareciera, por favor haga click con el botón derecho del mousey seguidamente en actualizar.

Перевод записки на русский язык:
(1) спасение файлов - инструкции
Чтобы купить пароль, нажмите на значок "ransom-payment". После открытия окна выше выберите ссылку "list", а затем в левой колонке вариант, которым будете платить, справа выберите Bitcoins. Нажмите кнопку "Find the best rate". Перейдите на любой из сайтов, которые появятся справа и купить EUR 250 Bitcoins по следующему адресу (скопируйте правой кнопкой мыши, а затем вставьте туда): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
После оплаты, дайте мне знать, отправив мне письмо на следующему email-адрес: ransom_ph@mail2noble.com
В таком случае, вам будет выслан пароль.
Нажмите на "ransom of files" и введите его. -

(2) спасение файлов - информация
Ransom_ph! была обнаружена аморальным активность в ваших онлайн-привычках и / или на вашем компьютере, потому я был вынужден заблокировать ваши личные файлы. Если вы хотите купить пароль, чтобы восстановить контроль над ними, пожалуйста, следуйте инструкциям, нажав на значок "ransom-instructions", который будет создан для этой цели на рабочем столе. Примечание: Будут созданы три значка, если они не появились, пожалуйста, нажмите правую кнопку мышки, затем выберите "Обновить".

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для шифрования использует утилиту aescrypt.exe. 

Список файловых расширений, подвергающихся шифрованию:
в версии 2.0 только файлы .xxx
в версии 3.0  файлы: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения). 

Файлы, связанные с этим Ransomware:
cryptoJacky-setup.exe
cryptojacky.exe
aescrypt.exe
run.exe
ransom-information.lnk
ransom-instructions.lnk
ransom-payment.url
ransomware-c.exe
ransomware-d.cmd
<random>.exe
<random>.vbs
<random>.tmp
<random>.bat
<random>.scr
и другие. см. ниже. 

Расположения: 
\Desktop\ransom-payment.url
%APPDATA%\r_tool\
%APPDATA%\r_tool\aescrypt.exe
%APPDATA%\r_tool\cts-input.vbs
%APPDATA%\r_tool\cts-input_error.vbs
%APPDATA%\r_tool\file_extensions.txt
%APPDATA%\r_tool\ransom-information.vbs
%APPDATA%\r_tool\ransom-instructions.vbs 
%APPDATA%\r_tool\ransom-thanks.vbs
%APPDATA%\r_tool\ransomware-c.exe
%APPDATA%\r_tool\ransomware-d.cmd
%APPDATA%\r_tool\Uninstall.exe
%APPDATA%\r_tool\fake-message.vbs
%APPDATA%\r_tool\rescue-of-files.exe
%APPDATA%\r_tool\rescue-thanks.vbs
%APPDATA%\r_tool\run.exe
%APPDATA%\r_tool\ms-windows_update.exe
%APPDATA%\r_tool\file_extensions.txt
и другие (см. гибридный анализ). 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.bestchange.com
ransom_ph@mail2noble.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ версия 2.0 >>
VirusTotal анализ версия 3.0 >>
Malwr анализ >>

Обновление от 29 марта 2017:
Версия: 3.0. Распространяется под видом фальшивых инсталляторов. 
Файлы: Windows_10_Firewall_Control.exe, HHD_Software_Hex_Editor_Neo_Ultimate_Edition_6.22.00.exe и пр. 
Скриншот: (см. выше, рядом со скриншотами предыдущей версии). 
Фальш-копирайт: Microsoft Corporation
Список файловых расширений: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения). 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJacky)
 Write-up, Topic
 *
 Thanks: 
 Jiri Kropac
 Michael Gillespie
 0x4574N4
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.

3 комментария:

  1. Попросил @jiriatvirlab отправить сэмпл на
    https://malwr.com/analysis/MjA3NmI4MzA3OTE2NDEyOGI1MjFhNzNkM2E4N2QwN2Y/
    https://www.hybrid-analysis.com/sample/eb1d67380ec375c79fd7533c90dc5f686165401174515abd8018d0220bf781b9?environmentId=100

    Похоже, этот вредонос еще находится в разработке, поскольку шифрует файлы с расширением ".xxx", добавляя ".aes".

    ОтветитьУдалить
    Ответы
    1. Сегодня добавил данные 3-й версии. Уже шифрует гораздо больше файлов.

      Удалить

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *