четверг, 27 октября 2016 г.

CryptoWire

CryptoWire Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,29499335 биткоина (сумма может отличаться), чтобы вернуть файлы. 

Название дали вымогатели. Написан на AutoIt. Концепт был загружен на GitHub анонимным пользователем. Содержит ZIP-архив с исходным кодом Ransomware и файл README с рекламой возможностей CryptoWire.

© Генеалогия: Начало.
CryptoWire >> собственно CryptoWire, Lomix, UltraLocker и др.

К зашифрованным файлам добавляется расширение .encrypted, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.encrypted.original_file_extension. 
Таким образом файл Important.docx станет Important.encrypted.docx

Добавочное расширение можно менять на любое другое. 

Обнаружен в октябре 2016 г. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана CryptoWire.

Содержание текста с экрана блокировки:
Your files has been safely encrypted
*** buttons ***
The only way you can recover your files it to buy a decryption key
The payment method is: Bitcoins. The price if: $200 = 0 29499335 Bitcoins
Click on the 'Buy decryption key' button.

Перевод текста на русский язык:
Твои файлы безопасно зашифрованы
*** кнопки ***
Только одним способом ты можешь вернуть свои файлы, это купить ключ дешифрования
Способ оплаты: биткоины. Цена: $200 = 0,29499335 биткоина
Нажмите кнопку 'Buy decryption key'.

Другие скриншоты:

После реализации этого проекта крипто-вымогатель может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Будьте бдительны! 

На системном диске вымогателем выполняется ряд деструктивных функций:
- удаляются тома теневых копий файлов;
- отключается исправление системы при загрузке;
- отключается восстановление системы из точек восстановления. 

Файлы шифруются не на основе расширения, а по размеру. Максимальный предельный размер файла 30 Мб, размер регулируется. Это нужно для того, чтобы сохранить высокую производительность ПК, в то время как большинство файлов будут шифроваться.


Шифруются все файлы (меньше 30 Мб) на локальных и сетевых дисках, общих сетевых ресурсах, USB-накопителях, внешних дисках, файлы игр, включая Steam, файлы на любом облачным сервисе, который работает на данном ПК (Onedrive, Dropbox, Google Drive). Шифровать все файлы или выборочно заложено в настройках исходника.  

Список файловых расширений, подвергающихся шифрованию (в исходнике):
.3fr, .7z, .abw, .accdb, .afsnit, .ai, .aif, .arc, .arw, .as, .asc, .asd, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bay, .bbb, .bdb, .bibtex, .bkf, .bmp, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cdr, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .cr2, .crt, .crw, .csr, .cue, .dbf, .dcr, .dds, .dem, .der, .ding, .dng, .doc, .docm, .docx, .dsb, .dwg, .dxf, .dxg, .eddx, .edoc, .eml, .emlx, .eps, .eps, .epub, .erf, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gpx, .gz, .h, .hbk, .hdd, .hds, .himmel, .hpp, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpeg, .jpf, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .kdc, .key, .keynote, .kml, .kmz, .lie, .lwp, .lzma, .m3u, .m4a, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .mrw, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nef, .nes, .note, .nrg, .nri, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .ogg, .one, .orf, .ova, .ovf, .oxps, .p2i, .p65, .p7, .p7b, .p7c, .pages, .pdd, .pdf, .pef, .pem, .pem, .pet, .pfx, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .phtm, .phtml, .pi, .pl2, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psd, .psd, .pspimage, .pst, .ptx, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .r3d, .ra, .raf, .rar, .raw, .rify, .rm, .rtf, .rtf, .rw2, .rwl, .s, .sbf, .set, .skb, .slf, .sme, .smm, .snp, .spb, .sql, .sr2, .srf, .srt, .srw, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tager, .tc, .tex, .tga, .thm, .tif, .tiff, .til, .toast, .torrent, .txt, .vbk, .vcard, .vcf, .vdi, .ved, .vfs4, .vhd, .vhdx, .vmdk, .vob, .vsdx, .wav, .wb2, .wblc, .wbve, .webm, .wmb, .wpb, .wpd, .wps, .wps, .x3f, .xdw, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xz, .yuv, .zip, .zipx (283 расширения). 

Старые незашифрованные файлы перезаписываются по 10 раз, а затем удаляются навсегда. Зашифрованные файлы оставляются на случай возврата после уплаты выкупа. Всё, что находится в RecycleBin будет перезаписано 10 раз и удалено навсегда.

Если ПК жертвы присоединён к домену (ПК компании), то сумма выкупа будет в 10 раз больше (регулируется).

Файлы, связанные с CryptoWire Ransomware:
CryptoWire.exe
<random_name>.exe
README.txt

Записи реестра, связанные с CryptoWire Ransomware:

См. ниже Гибридный анализ. 

Сетевые подключения:
blockchain.info (104.16.54.3)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>

Обновление от 3 марта 2017:
Файл: BTC hacker v14.2 by ignisteam.exe
Расширение: <original_file_name>.encrypted.<original_file_extension>
Записка: TEXT FILE.txt
Сумма выкупа: 500$
Email: hugoran1@gmx.com
Результаты анализов: VT

Обновление от 5 апреля 2017:

Пост в Твиттере >>
Файл: AA_V3.exe
Заголовок экрана блокировки: realfs0ciety@sigaint.org.fs0ciety
Промежуточное расширение: realfs0ciety@sigaint.org.fs0ciety
Это расширение добавляется в название файла, между его именем и расширением. Оригинальное имя файла и его расширение не изменяются. 
Видеообзор от GrujaRS >>
Результаты анализов: HA+VT


Степень распространённости: средняя.
Подробные сведения собираются.

Read to links: 
ID Ransomware (ID as CryptoWire)
Video review
Tweet on Twitter
 Thanks: 
 Michael Gillespie
 GrujaRS
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *