вторник, 15 ноября 2016 г.

Crypton

Crypton Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью схеиы AES + RSA, а затем требует выкуп в биткоинах от 0,2 до 2 биткоинов, чтобы вернуть файлы. Название оригинальное, есть в коде программы.
Этимология названия
1. Crypton — алгоритм симметричного блочного шифрования (размер блока 128 бит, ключ длиной до 256 бит), разработанный в 1998 году. Конструкция алгоритма опирается на алгоритм SQUARE. При шифровании используются ключи шифрования нескольких фиксированных размеров — от 0 до 256 бит с кратностью 8 битов. 
2. В комиксах, фильмах и мультипликации Криптон (Krypton)  родная планета Супермена.

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение _crypt 
Так файл image.png станет файлом image_crypt.png

Анализ показал, что сначала в проекте было расширение .crypt, но потом его заменили на _crypt. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа написана на русском и английском языках. 
В каждой папке размещается текстовый файл  readme_encrypted.txt 
Другим информатором выступает блокировщик экрана, который появляется на русском или английском языке. 

Содержание текста о выкупе на русском:
Внимание!
Ваши данные зашифрованы!
Для расшифровки ваших данных, вам необходимо оплатить указанную ниже сумму.
Обратите внимание, что подтверждение платежа может занять какое то время (от 1 часа до 1 дня).
Все это время программа должна быть запущена, и иметь соединение с интернет.
После успешного подтверждения платежа - расшифровка запустится автоматически.
Подробнее о том как произвести оплату с помощью Bitcoin можно найти в сети internet.
Наример можно воспользоваться сервисом хттпs://xchange.cc/visa-mastercard-rur-to-bitcoin.html ...
Крайне не рекомендуется пытаться самостоятельно восстановить данные, или удалять эту программу! Это может привести к полной потере ваших данных навсегда! Для восстановления данных необходимо подключение к интернет.
Текущий статус:
Bitcoin адрес: ***
Сумма к оплате: *** BTC по курсу в валюте 
Проверить статус платежа

Содержание текста о выкупе на английском:
Attention!
All data on you PC is encrypted!
To decrypt your data, you need to pay the amounts shown below.
Please note that the payment confirmation may take some time (from 1 hour to 1 day).
All this time, the program must be running and have an internet connection.
After the successful confirmation of payment - decoding will start automatically.
Read more about how to make a payment using Bitcoin can be found on the internet network.
In destination address - specify the Bitcoin address, listed below.
Keep in mind that the services may charge a fee for the payment, it is important that we must ...
It is not recommended to attempt to recover the data, or remove this program! This can lead to a complete loss of your data forever! To restore data, you must be connected to the Internet.
Status:
Bitcoin address: ***
Payment amount: ***
check payment status

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

На ПК попадает файл-дроппер (см. ниже результаты анализа). 

Запустившись в первый раз шифровальщик создает копию себя в директории %AppData%\crypton.exe

На рабочем столе создаются следующие файлы: 
%Desktop%\[RUSSIAN CHARACTERS].rtf
%Desktop%\Tatiana_Photo2016\Print_01.jpg
%Desktop%\Tatiana_Photo2016\Print_02.jpg
%Desktop%\Tatiana_Photo2016\Print_03.jpg
%Desktop%\Tatiana_Photo2016\Print_04.jpg
%Desktop%\photo_tatiana2016.jpg

Список файловых расширений, подвергающихся шифрованию:
.7z, .cd, .cdr, .dat, .db, .dbf, .dbx, .doc, .docx, .htm, .html, .jpg, .mdb, .mht, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .rtf, .tbb, .tbn, .tiff, .txt, .vsd, .xls, .xlsx, .xml, .zip (31 расширение). 

Файлы, связанные с Crypton Ransomware:
[Encrypted_folder_name]\readme_encrypted.txt
%AppData%\crypton.exe
Crypton.exe - исполняемый файл вымогателя
Dloader_exe.exe - дроппер

Записи реестра, связанные с Crypton Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"crypton" = "%AppData%\Crypton.exe" - запись для автозагрузки
HKEY_CURRENT_USER\Software\Crypton\"mail" = "<Malware_file_name>.exe"
HKEY_CURRENT_USER\Software\Crypton\"lang" = "ru"
См. ниже гибридный анализ

Сетевые подключения и связи:
хттп://in.uniclever.net/  (109.201.142.56:80 Нидерданды)
хттп://in.uniclever.net/init
srv1.uniclever.net
srv2.uniclever.net
xchange.cc/visa-mastercard-rur-to-bitcoin.html

Примечательно, что по адресу in.uniclever.net грузится изображение Оскара Уальда. 

Результаты анализов:
Гибридный анализ >>
Гибридный анализ на дроппер >>
VirusTotal анализ >>
VirusTotal анализ на дроппер >>
Symantec: Ransom.Crypton >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crypton)
 *
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *