суббота, 10 сентября 2016 г.

CryPy

CryPy Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует написать на почту вымогателям, чтобы получить декриптер. Написан на Python. Разработчик: MAFIA MALWARE INDONESIA.

Исполняемый файл CryPy имеет следующую иконку:

© Генеалогия: MafiaWare > CryPy

К зашифрованным файлам добавляется расширение .cry по шаблону CRY<random characters>.cry

  Когда файлы уже зашифрованы, их оригинальные имена передаются на C&C-сервер, отвечающий с новыми именами и ключом для шифрования. Каждый файл имеет случайный пароль из 32 символов, сгенерированный сервером, который также обеспечивает случайное имя файла для его переименования. Этот трюк может замедлить работу вымогателя, т.к. приходится ждать сетевого вызова для каждого отдельного файла, но он также скрывает генерацию ключей от исследователей из-за обработки на сервере. Из-за всего этого названия файлов меняется на несуразно длинные, например, такие, как на скриншоте ниже. 
Примеры зашифрованных файлов

Записки с требованием выкупа называются: README_FOR_DECRYPT.txt
Записка о выкупе

Содержание записки о выкупе:
IMPORTAN INFORMATION  [в слове IMPORTAN ошибка!]
All your files are encrypted with strong chiphers.
Decrypting of your files is only possible with the decryption program, which is on our secret server.
Note that every 6 hours, a random file is permanently deleted. The faster you are, the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
To receive your decryption program contact one of the emails:
1. m4n14k@sigaint.org
2. blackone@sigaint.org
Just inform your identification ID and we will give you next instruction.
Your personal identification ID: CRY*******

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ
Все твои файлы зашифрованы с сильными шифрами.
Дешифровка файлов возможна только с декриптером, который на нашем секретном сервере.
Заметь, что каждые 6 часов случайный файл удаляется. Поторопись и меньше файлов потеряешь.
Также, после 96 часов ключ будет уничтожен и никаким способом файлы уже не восстановишь.
Для получения декриптера пиши на одно из писем:
1. m4n14k@sigaint.org
2. blackone@sigaint.org
Сообщи свой опознавательный ID и мы дадим тебе инструкцию.
Твой личный опознавательный ID: CRY *******

Распространяется с помощью email-спама и вредоносных вложений, в том числе в архивах.

Перед показом записки о выкупе скрипт вызывает функцию delete_shadow (), которая выполняет следующую команду, чтобы удалить все теневые копий файлов и предотвратить их восстановление из резервных копий:

os.system("vssadmin Delete shadows /all /Quiet")


Список файловых расширений, подвергающихся шифрованию:

 .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11 (Security copy), .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (136 расширений) и файл wallet.dat (криптовалютные кошельки).

Директории, в которых шифруются файлы: 
D:\\
E:\\
[User]\\contacts
[User]\\Documents\\
[User]\\Downloads\\
[User]\\Favorites\\
[User]\\Links\\
[User]\\My Documents\\
[User]\\My Music\\
[User]\\My Pictures\\
[User]\\My Videos\\
F:\\
до Z:\\

Файлы, связанные с Ransomware:
CRY.exe
mw.exe
<random>.exe
README_FOR_DECRYPT.txt

Записи реестра, связанные с Ransomware:
***

Сетевые подключения и связи:
xxxx://www.baraherbs.Co.il/js/owebia/victim.php

xxxx://www.baraherbs.Co.il/js/owebia/savekey.php
m4n14k@sigaint.org
blackone@sigaint.org

Детект на VirusTotal 9 сентября >>
Детект на VirusTotal 11 сентября >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 17 мая 2017:
Записка: README_FOR_DECRYPT.txt
Файл: e-Statement BRI Mei 2017.pdf.exe

Результаты анализов: VT


Tweet on Twitter
Topic on BC
ID Ransomware (ID as CryPy)
Write-up (add. October 14, 2016)
 Thanks:
 Jakub Kroustek
 Michael Gillespie (Demonslay335)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *