понедельник, 4 апреля 2016 г.

CryptoBit

CryptoBit Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1-2 биткоина или больше, чтобы вернуть файлы. Название оригинальное. Параллельно распространялась другая версия этого крипто-вымогателя, которая описана у нас под названием Mobef Ransomware, но несмотря на возможное родство, имеются различия технического и визуального характера. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBit ⟺ Mobef  (см. Генеалогия)

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на апрель 2016 г. Также замечен в ряде вредоносных кампаний лета 2016 года (июнь-июль). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Не путайте с CryptorBit из 2014 года!

Записки с требованием выкупа называются по разному. В данной статье это:
OKSOWATHAPPENDTOYOURFILES
helloreadmenow23.TXT
helloreadmenow24.TXT
Содержание записки о выкупе:
Your ID: 589*****
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: torrenttracker@india.com
If you don't get a reply or if the email dies, then contact me using Bitmessage:
download it form here
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY***

Перевод записки на русский язык:
Ваш ID: 589*****
***
Привет. Ваши файлы теперь зашифрованы. У меня есть ключ для дешифровки их обратно. Я дам вам декриптер, если вы заплатите мне. Если вы платите мне сегодня, цена будет всего 1 биткоин.
Если вы платите мне завтра, вам придется заплатить 2 биткоина. Если вы платите мне через неделю, цена будет 7 битконов и так далее. Итак, поторопитесь.
Свяжитесь со мной, используя этот адрес email: torrenttracker@india.com
Если вы не получите ответа или если email закроют, то свяжитесь со мной, используя Bitmessage:
загрузите его здесь
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Запустите его, нажмите кнопку "New Identity", а затем отправьте мне сообщение на BM-NBvzKEY***

Последующее развитие привело к изменению информационной составляющей вымогательского процесса. 


Содержание текстовых записок поменялось:
ID:[six_or_seven-digit number in the 900,000 or 7,000,000 range]
PC:[host name]
USER:[user name]
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE EMAIL ME AT:
epiclesis@protonmail.ch + kyklos@scryptmail.com + malakia@opemnailbox.org + sycophant@sigaint.org
Send an email to all these addresses, just in case, sometimes emails get lost.
Don't forget to check your spam/junk folder later, most likely my reply will end up there.
If you want to remain anonymous or if you aren't getting a reply, please try using bitmessage (bitmessage.org) and use this address to contact me: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. This method will work 100%.
Encrypted files LOG: C:\users\(user name]\Documents\[six_or_seven-digit number].log

Перевод на русский язык:
ID: [6-7-значное число в диапазоне 900.000 или 7.000.000]
PC: [имя хоста]
USER: [имя пользователя]
Если вы хотите получить все файлы обратно, пожалуйста, напишите мне по адресу:
epiclesis@protonmail.ch + kyklos@scryptmail.com + malakia@opemnailbox.org + sycophant@sigaint.org
Отправьте по email на все эти адреса, на всякий случай, иногда письма теряются.
Не забудьте проверить папку спам/нежелательные, позже, скорее всего, мой ответ окажется там.
Если вы хотите сохранить анонимность, или если вы не получаете ответ, пожалуйста, попробуйте использовать bitmessage (bitmessage.org) и этот адрес для контакта со мной: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. Этот метод будет работать на 100%.
Зашифрованные файлы LOG: C:\users\(user name]\Documents\[6-7-значное число].log

Распространяется с помощью email-спама и вредоносных вложений, веб-инжектов и эксплойтов (RIG и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

CryptoBit, попав на компьютер, первым делом проверяет по своему запрещающему списку языки клавиатуры. При использовании пользователем одного из определённых кодов языков (0x1a7, 0x419 – русский или 0x43f — казахский), шифрование файлов прерывается. Если языки клавиатуры не входят в этот список, то CryptoBit производит по всем локальным дискам, сетевым папкам и съёмным устройствам (USB) поиск целевых файлов и производит их шифрование. 

После шифрования AES-ключа с помощью RSA, он будет храниться в файле "sekretzbel0ngt0us.KEY" (в разных версиях названия другие), и будет понятен только при наличии соответствующего закрытого ключа RSA.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7zip, .accdb, .accdt, .aep, .aes, .arj, .bpw, .cdr, .cer, .crp, .crt, .csv, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .idx, .ifx, .iso, .jpg, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp,.ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip  (96 расширений). 
Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.tmp.exe
<random>.exe
OKSOWATHAPPENDTOYOURFILES.TXT
sekretzbel0ngt0us.KEY
helloreadmenow23.TXT, helloreadmenow24.TXT и пр., цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23 - цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24 - цифры по дате

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTION.txt
[date]-INFECTIONE.txt
[date]000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
INSTRUCTIONS.MSG1
INSTRUCTIONS.MSG23

INSTRUCTIONS.MSG31
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
realstatistics.info
kjyrxilohcowy.dyndns.org
smobutdobesy.dyndns.org
laoismacau.com
videodrome69.net***
bitmessage.org
torrenttracker@india.com
epiclesis@protonmail.ch
kyklos@scryptmail.com
kyklos@lelantos.org
malakia@opemnailbox.org
malakia@anoninbox.net
sycophant@sigaint.org
BM-NAxZ29ouecw2Y7ibaXKus1vxDRDfheW6

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID Mobef)
 Write-up
 *
 *
 Thanks: 
 PandaSecurity
 PaloAltoNetworks
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton