вторник, 18 августа 2015 г.

CryptoApp

CryptoApp Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1 или 2 биткоина, чтобы вернуть файлы обратно. Название происходит от папки "CryptoApp" с файлами, создаваемыми самим вымогателем на рабочем столе жертвы и ключей реестра CryptoApp, создаваемых вымогателем в реестре Windows. К зашифрованным файлам добавляется расширение .encrypted

 Активность этого криптовымогателя пришлась на май-июнь и июль-август 2015 г., пока в августе того же года сайт вымогателя в сети Tor не был удален. Ориентирован на англоязычных пользователей.

Требованием выкупа расписаны в трех окнах:
Требования о выкупе
Скринлок, встающий обоями
HTML-записка о выкупе со ссылками на Tor-сайт

Содержание сообщений о выкупе:
В одном из сообщений с требованием выкупа, авторы шифровальщика поясняют, что:
- ПК не был защищен, т.к. пользователь не уделял должного внимания безопасности данных;
- пользовательские файлы были зашифрованы с помощью алгоритма RSA-2048;
- никто в мире не сможет расшифровать файлы без оригинального ключа;
- только после проведения оплаты все файлы будут восстановлены;
- любая попытка расшифровать файлы самостоятельно бесполезна;
- попытка форматировать диск и восстановить данные найдет только зашифрованные файлы;
- рекомендуется сразу удалить антивирус, т.к. его работа приведет к полной потере файлов.

Распространяется с помощью email-спама и вредоносных вложений.

Инфицировав целевое устройство, крипто-вымогатель ищет и шифрует пользовательские файлы на локальных и сетевых дисках, буквально перебирает все буквы алфавита: A: B: C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:

Для процесса шифрования вымогатель использует функцию Microsoft CryptoAPI. Для того, чтобы отслеживать файлы, которые он зашифровал, вымогатель хранит эту информацию в базе данных SQLite на диске.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .3gp, .7z, .accdb, .ai, .arc, .arw, .asp, .aspx, .avi, .bad, .bay, .bmp, .c, .cam, .cdr, .cer, .cineon, .cpp, .cr2, .crt, .crw, .css, .csv, .ctl, .dat, .db, .dbf, .dcr, .der, .des, .dicom, .dng, .doc, .docm, .docx, .dotm, .dotx, .dsc, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .fmb, .fmt, .fmx, .gif, .hdr, .html, .iif, .img, .indd, .jpe, .jpeg, .jpg, .js, .kdc, .log, .lst, .m4v, .mdb, .mdf, .mef, .mov, .mpeg, .mrw, .nd, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .openexr, .ora, .orf, .p12, .p7b, .p7c, .pbm, .pck, .pdd, .pdf, .pef, .pem, .perl, .pfx, .pgm, .php, .pic, .pkb, .pks, .pl, .plb, .pls, .png, .pot, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prn, .psb, .psd, .pst, .ptx, .qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .r3d, .raf, .rar, .raw, .rdf, .rdo, .rep, .rex, .rtf, .rw2, .rwl, .sldm, .sldx, .sql, .srf, .srw, .sti, .swf, .sxi, .thmx, .tiff, .tlg, .tlg, .txt, .vdi, .wb2, .wpd, .wps, .xbm, .xlam, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xml, .yaml, .zip (162 расширения). 

Из них ряд расширений относится к бухгалтерской программе QuickBooks (.qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .tlg). 

Примечательно, что декриптер от вымогателей при дешифровке меняет расширения зашифрованных файлов с .encrypted на .encrypted.decrypted

Файлы, связанные с Ransomware:
C:\Users\User_name\Desktop\csrss.exe - основной файл шифровальщика;
C:\Users\User_name\AppData\Local\Temp\keepalive.exe - файл прикрытия;
C:\Users\User_name\AppData\Local\Temp\wlp.jpg - файл обоев (красный).

Файлы из проекта вымогателя: 
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\CryptoApp.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\KeepAlive.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\SelfDestroy.pdb

Записи реестра, связанные с Ransomware:

Сетевые подключения:
guhvuoz7am24b5mv.onion
cryptorepairsystems.com (80.242.123.197)

Степень распространённости: низкая.
Подробные сведения собираются.

Ссылка на подробный исследовательский отчет >>
Ссылка на дополнение к этому отчету >>

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton