пятница, 31 марта 2017 г.

CradleCore

Cradle Ransomware

CradleCore Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish, а затем требует выкуп в 0.25 - 0.35 BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cradle

Активность этого крипто-вымогателя пришлась на конец марта - первую половину апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_HOW_TO_UNLOCK_FILES_.html

Содержание записки о выкупе: 
What happened to my files?
All your documents, pictures, music, and other important files are locked. Your files are locked with military-grade encryption technology.
It is impossible to unlock your files without the secret password and decryption software.
Do not trv to unlock the files yourself - you will certainly damage your files if you try.
What should I do?
You have 2 options:
1. Wait and pray for a miracle that will unlock your files.
2. Purchase the password and decryption software as soon as possible.
If you wait for a mircale, this is what will happen ...
In 7 days the price of the password and decryption software will double.
In 2 weeks, the secret password will be deleted from the server -- and vour files will be locked forever?
How do I purchase the software?
To purchase the password and decryption software, follow these easy steps:
1. Visit one of these web sites:
xxxxs://pn6fsogszhqlx24n.onion.to/5YT
xxxxs://pn6fsogszhqlx24n.onion.cab/5YT
2. If that doesn't work, download and install the Tor Browser at xxxxs://www.torproiect.org/. If you need help, please Google search for "access tor sites".
3. Visit the following web site with the Tor Browser:
xxxx://pn6fsogszhqlxz4n.onion/5YT

Перевод записки на русский язык: 
Что случилось с моими файлами?
Все ваши документы, изображения, музыка и другие файлы блокированы. Ваши файлы блокированы с шифрованием военного уровня.
Невозможно разблокировать ваши файлы без секретного пароля и программы для расшифровки.
Не пытайтесь разблокировать файлы самостоятельно - вы наверняка повредите свои файлы, если попробуете.
Что мне делать?
У вас есть 2 варианта:
1. Подождите и молитесь о чуде, которое разблокирует ваши файлы.
2. Приобретите пароль и программу дешифрования как можно скорее.
Если вы ждете чуда, это то, что произойдет ...
Через 7 дней цена пароля и программы дешифрования удвоится.
Через 2 недели секретный пароль будет удален с сервера - и ваши файлы будут заблокированы навсегда!
Как я могу приобрести программное обеспечение?
Чтобы приобрести программу для восстановления пароля и дешифровки, выполните следующие простые шаги:
1. Посетите один из этих веб-сайтов:
xxxxs://pn6fsogszhqlx24n.onion.to/5YT
xxxxs://pn6fsogs2hqlxz4n.omon.cab/5YT
2. Если это не работает, загрузите и установите Tor Browser с сайта xxxxs://www.torproiect.org/. Если вам нужна помощь, пожалуйста, ищите в Google "access tor sites".
3. Посетите следующий веб-сайт с браузером Tor:
xxxx://pn6fsogszhqlxz4n.onion/5YT

Страницы с Tor-сайта вымогателей:



Содержание текста о выкупе:
Unlock Your Files
You are here because your files are locked with military-grade encryption! To unlock your files you must purchase the decryption software. It is the only way to restore your files.
As soon as payment is received, a software download button will appear on this page. Only software from this site can unlock your files! To bookmark this page press [Ctrl+D].
Payment ID: 5YT
Website: xxxx://pn6fsogszhqlxz4n.onion/5YT
Price: 0.25 Bitcoins ($303.00 US Dollars)
Bitcoin Address: 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
Time Left: 6 days, 1 hrs 54 mins 8 secs
Follow these instructions carefully:
1. Payment must be made in Bitcoin currency. No other form of payment is accepted.
2. Time is running out! The price will double when the time expires!
3. After 14 days of nonpayment, your files will be locked forever!!!
4. DO NOT attempt to restore the files yourself! You WILL destory them if you try.
5. Purchase 0.25 Bitcoins and send to 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
6. Return to this page and download the software.
7. Confirmation of payment can take up to 1 hour. Be patient and check back often.
[Contact For Help]
Where do I Buy Bitcoins?
Bitcoin ATM's near you:
xxxxs://coinatmradar.com/
The best place online to buy Bitcoin is the Buy Bitcoins World Wide website:
xxxxs://www.buybitcoinworldwide.com/
Another website offering quick Bitcoin purchases is LocalBitcoins:
xxxxs://localbitcoins.com/buy_bitcoins
This is the official bitcoin website:
xxxxs://bitcoin.org/

Перевод текста на русский язык:
Разблок твоих файлов
Ты здесь, т.к. твои файлы заблокированы с шифрованием военного уровня! Для разблокировки файлов ты должен купить программу для расшифровки. Это единственный путь для восстановления твоих файлов.
Как только оплата будет получена, на этой странице появится кнопка загрузки программы. Только программа с этого сайта может разблокировать твои файлы! Чтобы добавить эту страницу в закладки  нажмите [Ctrl + D].
ID платежа: 5YT
Веб-сайт: xxxxs://pn6fsoQSzhQlxz4n.onion.to/5X9
Сумма: 0.25 Bitcoins ($303.00 US Dollars)
Биткойн-адрес: 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
Осталось время: 6 дней, 3 часа 50 минут 26 секунд
Внимательно следуйте этим инструкциям:
1. Оплата должна быть в валюте Биткойн. Никакая другая форма оплаты не принимается.
2. Время истекает! Цена будет удвоена, когда истечет время!
3. После 14 дней неплатежа файлы твои будут заблокированы навсегда!!!
4. НЕ пытайтесь восстановить файлы самостоятельно! Вы уничтожите их, если попробуете.
5. Купите 0.25 биткойна и отправьте на 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
6. Вернитесь на эту страницу и скачайте программное обеспечение.
7. Подтверждение оплаты может занять до 1 часа. Будьте терпеливы и часто перепроверяйте.
[Contact For Help]
Где я могу купить биткойны?
***см. ссылки в английском тексте***

Страница с Tor-сайта, представляющая продукт как RaaS
CradleCore

Имеет дополнительный функционал: анти-песочницу, оффлайн-шифрование, получает команды от управляющего сервера через шлюз Tor2Web (onion.link) и пр. См. скриншот ниже.
CradleCore

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Свыше 300 расширений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Зашифрованные файлы получают следующую специфическую иконку:
CradleCore

Файлы, связанные с этим Ransomware:
_HOW_TO_UNLOCK_FILES_.html
Cradle.exe

Расположения:
\Desktop\_HOW_TO_UNLOCK_FILES_.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://pn6fsoQSzhQlxz4n.onion.to/5X9
https://pn6fsoqszhqlxz4n.onion.to/5YT
https://pn6fsoqszhqlxz4n.onion.cab/5YT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CradleCore)
 Write-up, Topic
Video review (добавлено 14 апреля 2017)
 Thanks: 
 Michael Gillespie
 Roland Dela Paz (Forcepoint Security Labs)
 Lawrence Abrams
 CrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *