среда, 3 мая 2017 г.

Cry36

Cry36 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RC4, а затем требует выкуп в # BTC, чтобы вернуть файлы. Название получил из-за новых особенностей. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M > CryON > X3M Next > Cry128Cry36

Этимология названия:
В отличие от предыдущих итераций у данного шифровальщика имеется особенность, выражающаяся в том, что зашифрованный файл на 36 байт больше, чем оригинал. Отсюда название. 

К зашифрованным файлам добавляется случайное расширение с пристройкой в виде ID+email, или ID+onion-сайт.

Примеры расширений без пристройки: 
.08c85
.4se9s
.47kv5
.5d4s9
.830s7
.a97rq
.b1m74
.be87r
.gpsdh
.l454t
.netn6
.r2vy6
.vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_[email_ransom].<random5>
SECRET.TXT.id-1234567890_[mk.baraka@aol.com].830s7
SECRET.TXT.id-1234567890_[mk.rain@aol.com].be87r
SECRET.TXT.id_1234567890_[mk.kabal@aol.com].gpsdh
SECRET.TXT.id_1234567890_[m.reptile@aol.com].47kv5
SECRET.TXT.id_1234567890_[yotabyte@protonmail.com].4se9s
SECRET.TXT.id_1234567890_[liukang@mortalkombat.su].08c85
SECRET.TXT.id_1234567890_[don-corleone@mortalkombat.su].vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_<URL_ransom>.onion*
SECRET.TXT.id_1234567890_fgb45ft3pqamyji7.onion
SECRET.TXT.id_1234567890_gebdp3k7bolalnd4.onion._
SECRET.TXT.id_1234567890_2irbar3mjvbap6gt.onion.to._
* (звёздочка) здесь означает добавления после расширения onion

Шаблоны для Cry36 кратко можно записать так: 
.id_<ID_0-9{10}>_[email_ransom].<random5>
.id_<ID_0-9{10}>_[URL_onion]
.id_<ID_0-9{10}>_[URL_onion]._

Активность этого крипто-вымогателя пришлась на конец апреля, весь май, июнь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа были разные, они называются:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt

Содержание записки о выкупе ### DECRYPT MY FILES ###.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: mk.rain@aol.com
Your personal ID: 123456789

Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу - «Nemesis decryptor»
Вы можете узнать детали / купить декриптор + ключ / спросить по email: mk.rain@aol.com
Ваш личный ID: 123456789

Содержание записки о выкупе _DECRYPT_MY_FILES.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://fgb45ft3pqamyji7.onion.to (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (not need Tor)
You ID: 1234567890
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://fgb45ft3pqamyji7.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

Перевод записки на русский язык: 
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу. Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать детали / задать вопросы в чате:
xxxxs://fgb45ft3pqamyji7.onion.to (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (не нужен Tor)
Ваш ID: 1234567890
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://fgb45ft3pqamyji7.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится.
Если у вас возникли проблемы с установкой или использованием, посетите видео-урок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

На момент публикации сайты вымогателей не открывались. 

Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы): Windows, Program Files и %UserProfile%

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
svchost.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Известные email вымогателей:
d.fedor2@aol.com
mk.baraka@aol.com
mk_rain@aol.com
mk.kabal@aol.com
mk.smoke@aol.com
mk.kunglao@aol.com
don-corleone@mortalkombat.su
liukang@mortalkombat.su
yotabyte@protonmail.com
m.reptile@aol.com
m.subzero@aol.com
и другие

Известные сайты вымогателей:
fgb45ft3pqamyji7.onion
gebdp3k7bolalnd4.onion
2irbar3mjvbap6gt.onion.to

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



Внимание!
Для зашифрованных файлов есть декриптер
Скачать RakhniDecryptor для дешифровки >>
Если не помогло, пишите на partner.support@kaspersky.com


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry36)
 Write-up, Topic of Support
 * 
 Thanks: 
 Fabian Wosar
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

2 комментария:

  1. Ответы
    1. See the topic of support.
      https://support.emsisoft.com/topic/27231-cry9-invalid-crypton-file-pair/

      Удалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *