четверг, 1 сентября 2016 г.

CryLocker

CryLocker Ransomware

Cry Ransomware


  Этот крипто-вымогатель шифрует данные пользователей с помощью якобы RSA-4096 (на самом деле AES-128), а затем требует выкуп на разную сумму, например, 0,27 ($150) или 1,136 ($625) биткоинов, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .cry. По прошествии 4 дней и 4 часов (=100 часов) при неуплате выкупа его сумма увеличится вдвое. 

© Генеалогия: Cry (CryLocker) > Sage

Название придумано самими вымогателями. Ранее мы использовали другое название: от названия поддельной организации, отображаемой на сайте оплаты выкупа: Central Security Treatment Organization Ransomware или кратко Central Security или CSTO, или просто Cry Ransomware
Верхняя часть сайта поддельной организации

Скринлок, встающий обоями, имеет в тексте название CryLocker

 Шифровальщик CryLocker создает папку с именем "old_shortcuts" на рабочем столе и перемещает все зашифрованные файлы с рабочего стола в эту папку. После успешного шифрования CryLocker создает записки о выкупе с расширениями .txt и .html, содержащие идентичные сообщения, и тоже помещает их на рабочем столе жертвы. Затем удаляет тома теневых копий файлов. 

CryLocker отличается от других вымогателей тем, что он сначала копирует файлы, шифрует их, а затем удаляет оригиналы. Большинство вымогателей просто пытаются зашифровать оригинальный файлы.

Записки с требованием выкупа называются:  !Recovery_[random_chars].txt и !Recovery_[random_chars].html . Также используется скринлок, встающий обоями рабочего стола (см. картинку выше). 
Содержание записки о выкупе:
***будет позже***

Перевод записки на русский язык:
***будет позже***

Распространяется с помощью email-спама и вредоносных вложений, кликбейта и веб-страниц с эксплойтами. 

Кратко об этом вымогателе: 
CryLocker имеет некоторые интересные характеристики, которых обычно нет или редко имеются у других вымогателей, например: 
- передаёт информацию о жертве на C&C-сервер с использованием UDP (ранее так было только у Cerber); 
- использует общественные места (Imgur.com и Pastee.org) для размещения информации о каждой жертве; 
- опрашивает Google Maps API для определения местонахождение жертвы по ближайшим SSID Wi-Fi сетей.

Подробно: 
Когда ПК жертвы заражен, криптовымогатель CryLocker собирает разную информацию, например, версию Windows, разрядность, пакет обновления, имя пользователя, имя ПК и тип его процессора. Эта инфа отправляется через UDP на 4096 различных IP-адресов, один из которых это C&C-сервер вымогателей. Использование UDP-пакетов, вероятно, делается для запутывания расположение командного сервера, чтобы власти не могли его захватить.

CryLocker будет загружать ту же информацию, а также список зашифрованных файлов на Imgur.com. Это делается путём сбора всей инфы в поддельный PNG-файл и загрузки его в назначенный альбом в Imgur. После успешной загрузки Imgur даст файлу уникальным имя. Оно будет транслироваться через UDP на 4096 IP-адресов, уведомляя C&C-сервер, что инфицирована новая жертва.

С помощью Google Maps API можно узнать местонахождение устройства, опросив по SSID ближайщие Wi-Fi сети. Вымогатель CryLocker использует функцию WlanGetNetworkBssList, чтобы получить список ближайщих беспроводных сетей и их SSID-ов. Без уверенности о использовании жертвой этих точек с помощью Google Maps создаётся точный снимок её местонахождения. Затем вымогатели могут использовать эти данные, чтобы напугать жертву "своим могуществом" и заставить заплатить выкуп.

Инфецировав ПК CryLocker делает резервную копию ярлыков с рабочего стола и сохраняет их там же в папку "old_shortcuts". Цель этой операции пока неясна. 

Список файловых расширений, подвергающихся шифрованию:
 .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac,.dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .zip, .zipx, .zix, .zka (667 расширений). 

CryLocker удаляет тома теневых копии с помощью команды: 
vssadmin delete shadows /all /quiet
Для закрепления в системе создаёт задание со случайным именем, которое будет запускаться при входе пользователя в Windows. 

Затем на рабочем столе создаются записки о выкупе с названиями, которые содержат ID номер и инструкции о том, как получить доступ к TOR-сайту оплаты. 


Там же указаны ссылки на сайт оплаты, где требуется ввод персонального кода для входа в пользовательский кабинет. Кроме того: сумма выкупа, которую жертва должна заплатить, Bitcoin-адрес для платежа, есть страница поддержки, которую можно использовать для общения с вымогателями. Можно перетащить в окно и бесплатно дешифровать один файл, чтобы проверить возможность дешифровки файлов. Результатов дешифровки лучше подождать. При неудачном исходе этой операции пострадавшей стороне следует задуматься о бесполезности выкупа. 

Файлы, связанные с CryLocker Ransomware:
%UserProfile%\AppData\Local\Temp\[random_chars].exe
%UserProfile%\AppData\Local\Temp\[random_chars].tmp
%UserProfile%\AppData\Local\Temp\[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].txt
%UserProfile%\Desktop\old_shortcuts\
C:\Windows\System32\Tasks\[random_chars]

Записи реестра, связанные с CryLocker Ransomware:
HKCU\Software\[same_name_as_executable]

Сетевые соединения CryLocker Ransomware:
хттп://imgur.com
хттпs://pastee.org/
хттпs://maps.googleapis.com
UDP Traffic to ip addresses in the 37.x.x.x range

Этот вымогатель до сих пор анализируются и вполне может оказаться, что он дешифруем. 
Таким образом, пострадавшие от этого вымогателя следите за обновлениями этой статьи.

Степень распространённости: средняя.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *