среда, 3 мая 2017 г.

Cry36

Cry36 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RC4, а затем требует выкуп в # BTC, чтобы вернуть файлы. Название получил из-за новых особенностей. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M > CryON > X3M Next > Cry128Cry36

Этимология названия:
В отличие от предыдущих итераций у данного шифровальщика имеется особенность, выражающаяся в том, что зашифрованный файл на 36 байт больше, чем оригинал. Отсюда название. 

К зашифрованным файлам добавляется случайное расширение с пристройкой в виде ID+email, или ID+onion-сайт.

Примеры расширений без пристройки: 
.08c85
.4se9s
.47kv5
.5d4s9
.830s7
.a97rq
.b1m74
.be87r
.gpsdh
.l454t
.netn6
.r2vy6
.vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_[email_ransom].<random5>
SECRET.TXT.id-1234567890_[mk.baraka@aol.com].830s7
SECRET.TXT.id-1234567890_[mk.rain@aol.com].be87r
SECRET.TXT.id_1234567890_[mk.kabal@aol.com].gpsdh
SECRET.TXT.id_1234567890_[m.reptile@aol.com].47kv5
SECRET.TXT.id_1234567890_[yotabyte@protonmail.com].4se9s
SECRET.TXT.id_1234567890_[liukang@mortalkombat.su].08c85
SECRET.TXT.id_1234567890_[don-corleone@mortalkombat.su].vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_<URL_ransom>.onion*
SECRET.TXT.id_1234567890_fgb45ft3pqamyji7.onion
SECRET.TXT.id_1234567890_gebdp3k7bolalnd4.onion._
SECRET.TXT.id_1234567890_2irbar3mjvbap6gt.onion.to._
* (звёздочка) здесь означает добавления после расширения onion

Шаблоны для Cry36 кратко можно записать так: 
.id_<ID_0-9{10}>_[email_ransom].<random5>
.id_<ID_0-9{10}>_[URL_onion]
.id_<ID_0-9{10}>_[URL_onion]._

Активность этого крипто-вымогателя пришлась на конец апреля, весь май, июнь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа были разные, они называются:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt

Содержание записки о выкупе ### DECRYPT MY FILES ###.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: mk.rain@aol.com
Your personal ID: 123456789

Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу - «Nemesis decryptor»
Вы можете узнать детали / купить декриптор + ключ / спросить по email: mk.rain@aol.com
Ваш личный ID: 123456789

Содержание записки о выкупе _DECRYPT_MY_FILES.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://fgb45ft3pqamyji7.onion.to (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (not need Tor)
You ID: 1234567890
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://fgb45ft3pqamyji7.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

Перевод записки на русский язык: 
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу. Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать детали / задать вопросы в чате:
xxxxs://fgb45ft3pqamyji7.onion.to (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (не нужен Tor)
Ваш ID: 1234567890
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://fgb45ft3pqamyji7.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится.
Если у вас возникли проблемы с установкой или использованием, посетите видео-урок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

На момент публикации сайты вымогателей не открывались. 

Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы): Windows, Program Files и %UserProfile%

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
svchost.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Известные email вымогателей:
d.fedor2@aol.com
mk.baraka@aol.com
mk_rain@aol.com
mk.kabal@aol.com
mk.smoke@aol.com
mk.kunglao@aol.com
don-corleone@mortalkombat.su
liukang@mortalkombat.su
yotabyte@protonmail.com
m.reptile@aol.com
m.subzero@aol.com
и другие

Известные сайты вымогателей:
fgb45ft3pqamyji7.onion
gebdp3k7bolalnd4.onion
2irbar3mjvbap6gt.onion.to

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



Внимание!
Для зашифрованных файлов есть декриптер
Скачать RakhniDecryptor для дешифровки >>
Если не помогло, пишите на partner.support@kaspersky.com


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry36)
 Write-up, Topic of Support
 * 
 Thanks: 
 Fabian Wosar
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *