четверг, 21 июля 2016 г.

CrypMIC Ransomware


  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,2 биткоина. По истечении времени сумма выкупа увеличится до 2,4 биткоина. Никаких расширений к зашифрованным файлам не добавляется, потому жертве разобраться в том, какие файлы были зашифрованы, довольно сложно. 

Записки о выкупе сделаны в трех вариантах: README.TXT, README.html, README.BMP.
Записка о выкупе CrypMIC

Записка о выкупе CryptoXXX (для сравнения)

Перевод текста CrypMIC на русский язык:

НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com

Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием с RSA4096
Подробную информацию о ключах шифрования с RSA4096 ищите здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Как это случилось?
!!! Специально для вашего ПК создан персональный ключ RSA4096, открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который был передан на ПК через Интернет.
!!! Дешифровать файлы можно только с помощью секретного ключа и декриптора с нашего секретного сервера.

Что мне делать?
Есть два способа, которые можете выбрать: ждать _чуда_ и _заплатить_двойную цену! Или получить БИТКОИНЫ СЕЙЧАС! и вернуть _ВАШИ_ФАЙЛЫ ...
Если у Вас есть ценные _ДАННЫЕ_, вам лучше _НЕ_ТЕРЯТЬ_ВРЕМЯ_, потому что _НЕТ_ другого способа получить свои файлы, за исключением того, сделать ... оплату...

Ваш персональный ID: ***
Для подробных инструкций откройте ваш персональный сайт, есть несколько адресов, указывающих на вашу страницу ниже: ...

Если по каким-то причинам адреса недоступны, сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - Видео-инструкция: ***
3 - После успешной установки запустить браузер
4 - Ввести в адресной строке: ***
5 - Следуйте инструкциям на сайте


CrypMIC не прописывается в автозагрузку системы, но способен шифровать 901 тип файлов. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

CrypMIC использует для распространения те же методы, что и CryptXXX, в частности, набор эксплойтов Neutrino, размещенный на взломанных сайтах и во вредоносной рекламе. Может распространяться и с помощью других наборов эксплойтов, в частности RIG, а также с помощью фальшивых обновлений Adobe Flash Player. 

CrypMIC имеет проверочную подпрограмму VM, может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер, для связи с которым используется собственный протокол через TCP-порт 443, как и у CryptoXXX. 

CrypMIC способен шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Причем, CrypMIC шифрует информацию только на тех сетевых дисках, которые отображаются в карте сети. 

CrypMIC не похищает учётные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX. 

Сервис дешифрования, используемый создателями CrypMIC, тоже имеет определённое сходство с сервисом дешифрования CryptoXXX.
Сервис дешифрования CrypMIC 

Сервис дешифрования CryptXXX (для сравнения)


Впервые CrypMIC исследован и описан в блоге TrenMicro как RANSOM_CRYPMIC

Новый детект на VirusTotal >>

Степень распространенности: перспективно высокая
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *