вторник, 31 января 2017 г.

CryptoShield 1.0

CryptoShield 1.0 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, версия записана как CryptoShield 1.0. Фальш-имя: Windows Winlog. 

© Генеалогия: CryptoMixCryptoShield 1.0 CryptoShield 2.0

К зашифрованным файлам добавляется расширение .CRYPTOSHIELD
Записки о выкупе и зашифрованные файлы

Более того, имена файлов шифруются используя ROT-13, а уже затем к зашифрованному и переименованному таким образом файлу добавляется расширение .CRYPTOSHIELD

Например, файл с именем test.jpg будет зашифрован и переименован в grfg.wct.CRYPTOSHIELD 

Вы можете расшифровать имена файлов с помощью любого РОТ-13 онлайн-шифратора, например, rot13.com

Активность этого крипто-вымогателя пришлась на конец января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
# RESTORING FILES #.txt
# RESTORING FILES #.html

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE http://translate.google.com
What happened to you files?
All of your files were encrypted by a strong encryption with RSA-2048 using CryptoShield 1.0.
More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
Specially for your PC was generated personal RSA-2048 KEY, both public and private.
ALL your FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
To receive your private software:
Contact us by email , send us an email your (personal identification) ID number and wait for further instructions.
Our specialist will contact you within 24 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. 
This will be your guarantee.
Please do not waste your time! You have 72 hours only! After that The Main Server will double your price!
So right now You have a chance to buy your individual private SoftWare with a low price!
CONTACTS E-MAILS:
restoring_sup@india.com - SUPPORT;
restoring_sup@computer4u.com - SUPPORT RESERVE FIRST;
restoring_reserve@india.com - SUPPORT RESERVE SECOND;
ID (PERSONAL IDENTIFICATION): *****

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ http://translate.google.com
Что случилось с вашими файлы?
Все файлы были зашифрованы CryptoShield 1.0 с помощью надежного шифрования RSA-2048.
Подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: https://en.wikipedia.org/wiki/RSA (криптосистема)
Как это произошло?
Специально для вашего ПК был создан личный RSA-2048 ключ, открытый и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа, который был передан на ваш компьютер через Интернет.
Дешифрование файлов возможно только с помощью секретного ключа и программы дешифровки, которая есть на нашем секретном сервере.
Что мне делать?
Есть два способа, на ваш выбор: ждать чуда и увеличить цену в два раза, или отправить email для получения подробных инструкций...

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, JavaScript и эксплойтов (в данном случае с помощью RIG и EITest) на взломанных сайтах, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также используется известная цепочка заражений EITest, когда злоумышленниками сначала компрометируется большое количество сайтов (под управлением WordPress и Joomla), эксплуатируя известные уязвимости, затем небольшая часть трафика с зараженных ресурсов перенаправляется на вредоносные страницы, подвергая посетителей атакам наборами эксплойтов и заражая их различными вредоносами. 

После шифрования отключаются опции восстановления системы на этапе загрузки и точки восстановления системы, и удаляются теневые копии файлов, командами:
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss

Добавляет себя в Автозагрузку системы. Нерестит много процессов.

CryptoShield будет отображать поддельные оповещения об ошибке в Explorer.exe. Если внимательно прочитать предупреждение, то можно увидеть орфографические ошибки и ломаный английский. Об этом сообщили Лоуренс Адамс в статье о CryptoShield. 

Список файловых расширений, подвергающихся шифрованию:
.1CD, .3DM, .3DS, .3FR, .3G2, .3GP, .3PR, .7Z, .7ZIP, .AAC, .AB4, .ABD, .ACC,.ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACH, .ACR, .ACT, .ADB, .ADP, .ADS, .AGDL, .AI, .AIFF, .AIT, .AL, .AOI, .APJ, .APK, .ARW, .ASCX, .ASF, .ASM, .ASP, .ASPX, .ASSET, .ASX, .ATB, .AVI, .AWG, .BACK, .BACKUP, .BACKUPDB, .BAK, .BANK, .BAY, .BDB, .BGT, .BIK, .BIN, .BKP, .BLEND, .BMP, .BPW, .BSA, .C, .CASH, .CDB, .CDF, .CDR, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CDX, .CE1, .CE2, .CER, .CFG, .CFN, .CGM, .CIB, .CLASS, .CLS, .CMT, .CONFIG, .CONTACT, .CPI, .CPP, .CR2, .CRAW, .CRT, .CRW, .CRY, .CS, .CSH, .CSL, .CSS, .CSV, .D3DBSP, .DAC, .DAS, .DAT, .DB .DB_JOURNAL, .DB3, .DBF, .DBX, .DC2, .DCR, .DCS, .DDD, .DDOC, .DDRW, .DDS, .DEF, .DER, .DES, .DESIGN, .DGC, .DGN, .DIT, .DJVU, .DNG, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DRF, .DRW, .DTD, .DWG, .DXB, .DXF, .DXG, .EDB, .EML, .EPS, .ERBSQL, .ERF, .EXF, .FDB, .FFD, .FFF, .FH, .FHD, .FLA, .FLAC, .FLB, .FLF, .FLV, .FLVV, .FORGE, .FPX, .FXG, .GBR, .GHO, .GIF, .GRAY, .GREY, .GROUPS, .GRY, .H, .HBK, .HDD, .HPP, .HTML, .IBANK, .IBD, .IBZ, .IDX, .IIF, .IIQ, .INCPAS, .INDD, .INFO, .INFO_, .IWI, .JAR, .JAVA, .JNT, .JPE, .JPEG, .JPG, .JS, .JSON, .K2P, .KC2, .KDBX, .KDC, .KEY, .KPDX, .KWM, .LACCDB, .LBF, .LCK, .LDF, .LIT, .LITEMOD, .LITESQL, .LOCK, .LTX, .LUA, .M, .M2TS, .M3U, .M4A, .M4P, .M4V, .MA, .MAB, .MAPIMAIL, .MAX, .MBX, .MD, .MDB, .MDC, .MDF, .MEF, .MFW, .MID, .MKV, .MLB, .MMW, .MNY, .MONEY, .MONEYWELL, .MOS, .MOV, .MP3, .MP4, .MPEG, .MPG, .MRW, .MSF, .MSG, .MTS, .MYD, .ND, .NDD, .NDF, .NEF, .NK2, .NOP, .NRW, .NS2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .NVRAM, .NWB, .NX2, .NXL, .NYF, .OAB, .OBJ, .ODB, .ODC, .ODF, .ODG, .ODM, .ODP, .ODS, .ODT, .OGG, .OIL, .OMG, .ONE, .ORF, .OST, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PAB, .PAGES, .PAS, .PAT, .PBF, .PCD, .PCT, .PDB, .PDD, .PDF, .PEF, .PFX, .PHP, .PIF, .PL, .PLC, .PLUS_MUHD, .PM!, .PM, .PMI, .PMJ, .PML, .PMM, .PMO, .PMR, .PNC, .PND, .PNG, .PNX, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIVATE, .PS, .PSAFE3, .PSD, .PSPIMAGE, .PST, .PTX, .PUB, .PWM, .PY, .QBA, .QBB, .QBM, .QBR, .QBW, .QBX, .QBY, .QCOW, .QCOW2, .QED, .QTB, .R3D, .RAF, .RAR, .RAT, .RAW, .RDB, .RE4, .RM, .RTF, .RVT, .RW2, .RWL, .RWZ, .S3DB, .SAFE, .SAS7BDAT, .SAV, .SAVE, .SAY, .SD0, .SDA, .SDB, .SDF, .SH, .SLDM, .SLDX, .SLM, .SQL, .SQLITE, .SQLITE3, .SQLITEDB, .SQLITE-SHM, .SQLITE-WAL, .SR2, .SRB, .SRF, .SRS, .SRT, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .STD, .STI, .STL, .STM, .STW, .STX, .SVG, .SWF, .SXC, .SXD, .SXG, .SXI, .SXM, .SXW, .TAX, .TBB, .TBK, .TBN, .TEX, .TGA, .THM, .TIF, .TIFF, .TLG, .TLX, .TXT, .UPK, .USR, .VBOX, .VDI, .VHD, .VHDX, .VMDK, .VMSD, .VMX, .VMXF, .VOB, .VPD, .VSD, .WAB, .WAD, .WALLET, .WAR, .WAV, .WB2, .WMA, .WMF, .WMV, .WPD, .WPS, .X11, .X3F, .XIS, .XLA, .XLAM, .XLK, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .XPS, .XXX, .YCBCRA, .YUV, .ZIP (453 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Файлы и папки, связанные с этим Ransomware:
# RESTORING FILES #.html
# RESTORING FILES #.txt
CryptoShield.tmp.exe
da98d21ebd555c4b_rada5971.tmp.exe
net1.exe
<random>.exe
<random>.tmp.exe
<random>.temp
recovery.js.tmp
recovery.js
C:\ProgramData\MicroSoftWare\
C:\ProgramData\MicroSoftWare\SmartScreen\
C:\ProgramData\MicroSoftWare\SmartScreen\SmartScreen.exe
%AppData%\Roaming\1FAAXB2.tmp
<encrypted_file_name>.CRYPTOSHIELD
%ALLUSERSPROFILE%\Mozilla\logs\znvagranaprfreivpr-vafgnyy.ybt.XAXAX0X0
%ALLUSERSPROFILE%\Sun\Java\Java Update\wnhertyvfg.kzy.XAXAX0X0
%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\0DYVMIYVVT5ZUKSM3LJB.temp
%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\3ASNQR8YK4UJIPIZSGPI.temp
и другие. 

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows SmartScreen" = "C:\ProgramData\MicroSoftWare\SmartScreen\SmartScreen.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
104.238.188.209:80 - США
52.27.41.168:443 - США
54.240.162.240 - США
***45.76.81.110/test_site_scripts/moduls/get_info.php
restoring_sup@india.com
restoring_sup@computer4u.com
restoring_reserve@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Обновление от 3 и 7 февраля 2017:
Версия: CryptoShield 1.1
Файл: <random>.tmp.exe, jquery.exe
Фальш-имена:  ScreenSmarts, Windows Winlog SoftWare
Результаты анализов: VTVT

Обновление от 14 февраля 2017:
CryptoShield 2.0 Ransomware >> 


Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CryptoShield)
 Write-up + Tweet (add. February 6, 2017)
Added later:
Write-up (add. February 1, 2017)
Video review (add. February 2, 2017)
 Thanks: 
 James, GrujaRS
 Michael Gillespie, Lawrence Abrams
 Karsten Hahn
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *