Если вы не видите здесь изображений, то используйте VPN.

понедельник, 27 марта 2017 г.

Cry9

Cry9 Ransomware

Cry128 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоина, чтобы вернуть файлы. Оригинальное название. По данным Фабиана Восара Cry9 использует SHA-512 и модифицированную версию AES, которая работает на 64-байтовых блоках и с 512-битными ключами в режиме ECB.

© Генеалогия: CryptON > Cry9 > Cry128

К зашифрованным файлам добавляется одно из следующих расширений:
.<id>
.id-<id>
.id-<id>_r9oj
.id-<id>_x3m
.<id>-juccy[a]protonmail.ch
.<id>_[wqfhdgpdelcgww4g.onion.to].r2vy6
.id-<id>_[nemesis_decryptor@aol.com].xj5v2
.id-<id>_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
.<id>-isabela1956aprotonmail.ch
.<id>-sofia_lobsterprotonmail.ch
и другие. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: *нет данных*.


Содержание записки о выкупе:

!!!SEUS ARQUIVOS FORAM CRIPTOGRAFADOS!!!
Sua identificacao pessoal: *****
Para receber o decodificador deve pagar pela descodificacao.
Compre 0.5 BTC nestes sites:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxx://xapo.com/
ENDEREÇO BITCOIN PARA PAGAR:
1NNF7ZK8A8uBWuYVSR3bS8a9v7DReExdNy
Envie 0.5 btc para a decodificacao
Depois de pagar:
1. Enviar captura de ecra ou foto do pagamento para o endereco: juccy@protonmail.ch
2. Se voce quiser permanecer anonimo ou se voce nao esta recebendo uma resposta, tente usar a mensagem bit (bitmessage.ch) e use este endereço para entrar em contato comigo:
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch . Este metodo funcionara 100%.
3. No e-mail deve incluir o sua identificacao pessoal (*****).
Em seguida, voce recebera o descodificador e instrucoes.
!!!Atencao!!!
- Voce realmente obter o decifrador apos o pagamento.
- Tentativas de auto-descriptografar arquivos resultara na perda de seus dados.
- Os descodificadores de outros usuarios nao sao compativeis com seus dados, porque a chave de criptografia unica de cada usuario.

Перевод записки на русский язык:
!!!Ваши файлы были зашифрованы!!!
Ваш личный ID: *****
Чтобы получить декодер нужно заплатить за дешифровку.
Купить 0.5 BTC с этих сайтов:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxx://xapo.com/
Bitcoin-адрем для оплаты:
1NNF7ZK8A8uBWuYVSR3bS8a9v7DReExdNy
Отправьте 0.5 BTC за дешифровку
После оплаты:
1. Отправьте снимок экрана или изображение платежа по адресу: juccy@protonmail.ch
2. Если вы хотите сохранить анонимность, или если вы не получаете ответ, попробуйте использовать бит-сообщение (bitmessage.ch) и этот адрес, чтобы связаться со мной:
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch. Этот метод будет работать на 100%.
3. В email нужно включить свой личный ID (*****).
После этого вы получите декодер и инструкции.
!!!Внимание!!!
- Вы точно получите декодер после оплаты.
- Попытка самостоятельно дешифровать файлы приведёт к потере данных.
- Декодеры от других пользователей не совместимы с вашими данными, т.к. ключ шифрования для каждого пользователя уникален.


Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Cry9 шифруются все типы файлов. 
Это будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Все зашифрованные файлы будет иметь размер на 16 байт больше, чем исходный файл.

Директории, исключаемые из шифрования: 
C:\Windows, 
C:\Program Files
Папка профиля пользователя

Таким образом, на загрузку системы и другие важные процессы шифрование не влияет.

Файлы, связанные с этим Ransomware:
<random>.exe
<ransom_note>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
juccy@protonmail.ch
isabela1956aprotonmail.ch
sofia_lobsterprotonmail.ch
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 апреля:
Новая итерация: Cry128

Вариант от 24 апреля 2017:
Дешифратор для Cry9: https://decrypter.emsisoft.com/cry9
Расширение: .<id>-isabela1956@aprotonmail.ch
Email: isabela1956@aprotonmail.ch
Результаты анализов: VT

Вариант от 26 апреля 2017:
Дешифратор для Cry9: https://decrypter.emsisoft.com/cry9
Расширение: .<id>-sofia_lobster@protonmail.ch
Email: sofia_lobster@protonmail.ch
Результаты анализов: VT



Внимание!
Для зашифрованных файлов есть декриптер
Скачать Cry9 Decrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry9)
 Write-up, Topic
 * 
 Thanks: 
 Fabian Wosar
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *