Если вы не видите здесь изображений, то используйте VPN.

вторник, 15 августа 2017 г.

Crypt12

Crypt12 Ransomware

KristinaCS Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Написан на языке .NET. Оригинальное название: crypt12. На файле написано: crypt12.exe. Среда разработки: Visual Studio 2015.  
---
Обнаружения:
DrWeb -> Trojan.Encoder.15080, Trojan.Encoder.15081
ALYac -> Trojan.Ransom.Crypt12, Trojan.Ransom.Kristina
BitDefender -> Trojan.Agent.CLHB, Trojan.Ransom.BVR
ESET-NOD32 -> MSIL/Filecoder.Crypt12.A, A Variant Of MSIL/Filecoder.Crypt12.A
Microsoft -> Ransom:MSIL/Natiris.A
Rising -> Ransom.Agent!8.6B7 (CLOUD), Virus.Ramnit!8.4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114934a7
TrendMicro -> Ransom_CRYPTWELVE.A, Ransom_ANITSIRK.B
---

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt12
Зашифрованные файлы принимают вид по шаблону:
filename.extension=id=<email_for_ransom>.crypt12

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!!readme!!!.txt

Содержание записки о выкупе:
Your files Have Been Crypted email to:
mortalis_certamen@aol.com for instuctions;

Перевод записки на русский язык:
Ваши файлы зашифрованы, email для инструкций:
mortalis_certamen@aol.com


Запиской с требованием выкупа выступает также загружаемое изображение, содержащее тот же текст. 

Содержание записки о выкупе:
Your files Have Been Crypted email to:
mortalis_certamen@aol.com for instuctions;

Перевод записки на русский язык:
Ваши файлы зашифрованы, email для инструкций:
mortalis_certamen@aol.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для шифрования используется графический интерфейс. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
crypt12.exe
!!!!readme!!!.txt
sys.bat

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
mortalis_certamen@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления ноября 2017:
Email: hello@boomfile.ru
hernansec@protonmail.ch

Обновление от 5 февраля 2018:
Сообщение >>
Расширение: .crypt12
Файл: KristinaCS.exe
Email: hernansec@protonmail.ch
Результаты анализов: VT



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
СкачайтеCrypt12Decrypter по ссылке:
https://download.bleepingcomputer.com/demonslay335/Crypt12Decrypter.zip
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crypt12)
 Write-up, Topic of Support
 * 
 Thanks: 
 xXToffeeXx, Michael Gillespie
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *