вторник, 27 февраля 2018 г.

Creeper, Cripper

Creeper Ransomware

Cripper Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем требует выкуп в крипто-валюте Monero (3-5 XMR), чтобы вернуть файлы. Оригинальное название: не указано. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения 
.creeper
.cripper

Сначала я предположил, а потом нашёл подтверждение того, что используются оба этих расширения. Видимо, хотели запутать исследователей. 

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRIPT_MY_FILES.txt
Creeper Ransomware note

Содержание записки о выкупе:
Decrypting your files is easy. Take a deep breath and follow the steps below.
1 ) Make the proper payment.
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'.
Sign up at one of these exchange sites and send the payment to the address below.
Payment Address (Monero Wallet):
46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWDxW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM
2 ) Farther you should send the following code: *** to email address skgrhk2018@tutanota.com.
Then you will receive all necessary key.
Prices :
Days : Monero : Offer Expires
0-2  : 3 : 03/01/18
3-5  : 5 : 03/04/18
Note: In 6 days your password decryption key gets permanently deleted.
You then have no way to ever retrieve your files. So pay now.

Перевод записки на русский язык:
Расшифровать ваши файлы просто. Глубоко вдохните и сделайте следующие шаги.
1) Сделайте правильный платеж.
Платежи принимаются в Monero. Это крипто-валюта, как биткоин.
Вы можете купить Monero и отправить его из тех же мест, что и другие крипто-валюты. Если вы всё ещё не уверены, гуглите "monero exchange".
Зарегистрируйтесь на одном из этих сайтов обмена и заплатите на указанный ниже адрес.
Адрес оплаты (Monero Wallet):
46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWDxW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM
2) Далее вам надо отправить следующий код: *** на email-адрес skgrhk2018@tutanota.com.
Затем вы получите все необходимые ключи.
Цены :
Дни: Monero: Предложение истекает
0-2: 3: 03/01/18
3-5: 5: 03/04/18
Примечание. Через 6 дней ваш ключ дешифрования пароля будет удален.
У вас нет иного способа получить файлы. Так что заплатите сейчас.

Пояснение: 
0-2: 3: 03/01/18 - один-два дня, до 3 марта - выкуп 3 Monero
3-5: 5: 03/04/18 - три-пять дней, до 4 марта - выкуп 5 Monero




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Большинство популярных файловых расширений, кроме текстовых файлов, оставленных самим вымогателем.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, базы 1С и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
DECRIPT_MY_FILES.txt
bigbyte.exe - бесплатная утилита для заполнения свободного места на диске. 
Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: skgrhk2018@tutanota.com
XMR: 46WDbj1YCQrCfAGW37AJi3Ljr86waWBP1GwoRCeAGcR49xtNvRWpVyXQsqWDxW4qaQ5SxnDB4VnJZRhNaYHuvkAdVaeLeMM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Дополнение из комментариев:
Для шифрования используется криптографический пакет OpenSSL 0.9.8h, метод AES-256-CBC c "солью" (SALT). 
Для заполнения свободного (освободившегося) места на диске используется бесплатная утилита bigbyte.exe, которая создает двоичные или ASCII-файлы и заполняет их нулями. 
Распаковывает утилиты в TEMP-папку пользователя, от имени которого запускается на выполнение. 
Имя папки — просто номер (например, 6).
Запуск OpenSSL производит из командного файла, который сам и продуцирует. 
В командном файле - одна строка - один запуск, списком. 
Видимо, неявно использует идентификацию отдельных типов файлов по сигнатуре (таким образом, например, убивает бэкапы MS SQL с нестандартным расширением).



Обновление от 8 мая 2018:
Расширение: .cripper
Email: skgrhk2018me@tutanota.com
DECRIPT_MY_FILES.txt
Топик на форуме >>

Обновление от 18 августа 2018:
Пост в Твиттере >>
Расширение: .crypton
Записка: DECRIPT_FILES.txt
Email: sqqsdr01@keemail.me
Monero: 88AnJ7xd4f5DchstDew13xAH3qDrLtVaYcZjqGcADErb9SgX2h99aqda8mpKURGGkyWB7r5fg5HufZnQsgNUhyMdNgbXSZU
➤ Содержание записки: 
Decrypting your files is easy. Take a deep breath and follow the steps below. 
1 ) Make the proper payment. 
Payments are made in Monero. This is a crypto-currency, like bitcoin.
You can buy Monero, and send it, from the same places you can any other
crypto-currency. If you're still unsure, google 'monero exchange'. 
Sign up at one of these exchange sites and send the payment to the address below.
Payment Address (Monero Wallet): 
88AnJ7xd4f5DchstDew***  (95 знаков)
2 ) Farther you should send your ip address to email address sqqsdr01@keemail.me
Then you will receive all necessary key. 
Prices :
Days : Monero : Offer Expires 
0-2  : 500$  : 08/20/18 
3-6  : 1000$ : 08/24/18
Note: In 7 days your password decryption key gets permanently deleted. 
You then have no way to ever retrieve your files. So pay now.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Creeper)
 Write-up, Topic of Support
 Топик на форуме - Топик на форуме - Топик на форуме
 Thanks: 
 Michael Gillespie
 (victims in the topics of support)
 Den Freeman (комментарий)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

1 комментарий:

  1. Использует:
    Для шифрования openssl 0.9.8h , метод -aes-256-cbc c SALT
    Для зачистки "свободного" пространства - bigbyte.exe
    Распаковывает утилиты в папку TEMP пользователя, от имени которого запускается на выполнение.
    Имя папки - просто номер (например, 6)
    Запуск opennssl производит из командного файла, который сам и продуцирует.
    В командном файле - одна строка - один запуск, списком.
    Видимо, неявно использует идентификацию отдельных типов файлов по сигнатуре (таким образом, например, убивает бэкапы MS SQL с нестандартным расширением)

    ОтветитьУдалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton