воскресенье, 10 января 2016 г.

CryptoJoker

CryptoJoker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в биткоинах, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .crjoker. Активность этого криптовымогателя пришлась на январь-март 2016 г. Ориетирован на англоязычных и русскоязычных пользователей. 

На русском языке название звучит как КриптоДжокер. Не путайте с CryptoLocker (КриптоЛокер). 

 Записки с требованием выкупа называются: README!!!.txt, GetYouFiles.txt, crjoker.html и другие.
Последний файл фактически является экраном блокировки с отсчетом оставшегося времени. Текст написан на русском и английском языках. 

Содержание записки о выкупе: 
ENGLISH:
Your personal files were encrypted using RSA key cryptographically!
It decrypts files can be knowing a unique, private RSA key length of 2048 bits, which is only for us.
Write to us at mail: file987@sigaint.org Spare mails: file9876@openmail.cc or file987@tutanota.com
Instructions for payment will be sent in the opposite letter.
After payment we will send your key and decoder.
And remember, you only have 72 hours to make a payment, then the price will rise to decipher.
Attempts to decipher on their own will not lead to anything other than irretrievable loss of information.
Your unique key that is required to send to the specified email:
Good luck.

RUSSIAN:
Ваши личные файлы были зашифрованы при помощи криптостойкого RSA ключа!
Расшифровать файлы можно зная уникальный, закрытый RSA ключ длиной 2048 бит, который есть только у нас.
Напишите нам на мейл: file987@sigaint.org Запасные мейлы: file9876@openmail.cc или file987@tutanota.com
Инструкция для оплаты будут высланы в обратном письме.
После оплаты мы вышлем ваш ключ и дешифратор.
И помните, у вас есть только 72 часа, чтобы произвести оплату, потом цена на расшифровку поднимется.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Ваш уникальный ключ, который обязательно вышлите на указанный email:
Удачи.

Перевод записки на русский язык: 

Не требуется, т.к. уже сделан самими вымогателями.

  Распространяется с помощью email-спама и вредоносных вложений. Установщик CryptoJoker маскируется под PDF-файл. После запуска установщика на выполнение будет докачано и сгенерировано нужное количество исполняемых файлов в папке %Temp% и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

  Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный вserver6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

Код, используемый для отправки такой информации, приведён ниже.


В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы.

С помощью этого пакетного файла выполняются следующие команды:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe delete shadows /all /quiet



Экран блокировки отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций. [Для сведения: Экран блокировки будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe].




Экран блокировки



При отправке письма вымогателям пострадавшая сторона должна скопировать строку текста, зашифрованную с алгоритмом RSA, из этого окна, или продублированную в файле README!!!.TXT в папке %Temp%.

Файлы, связанные с CryptoJoker Ransomware: 
\Desktop\DECRYPT FILES.txt
\Desktop\GET MY FILES.txt
\Desktop\READ NOW.txt
\Desktop\read this file.txt
\Desktop\READ.txt
\Desktop\README!!!.txt
\Desktop\readme.txt
%Temp%\crjoker.html
%Temp%\drvpci.exe
%Temp%\GetYouFiles.txt
%Temp%\imgdesktop.exe
%Temp%\new.bat
%Temp%\README!!!.txt
%Temp%\sdajfhdfkj
%Temp%\windefrag.exe
%Temp%\windrv.exe
%Temp%\winpnp.exe
%AppData%\dbddbccdf.exe
%AppData%\README!!!.txt22

Записи реестра, связанные с CryptoJoker Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe

Ранний детект на VirusTotal >>>
Июльский детект на VirusTotal >>>
Symantec: Ransom.CryptoJoker >>

Степень распространённости: средняя.
Подробные сведения собираются.



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton