CryptoApp

CryptoApp Ransomware

(шифровальщик-вымогатель)

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1 или 2 биткоина, чтобы вернуть файлы обратно. Название происходит от папки "CryptoApp" с файлами, создаваемыми самим вымогателем на рабочем столе жертвы и ключей реестра CryptoApp, создаваемых вымогателем в реестре Windows. К зашифрованным файлам добавляется расширение .encrypted

 Активность этого криптовымогателя пришлась на май-июнь и июль-август 2015 г., пока в августе того же года сайт вымогателя в сети Tor не был удален. Ориентирован на англоязычных пользователей.

Требованием выкупа расписаны в трех окнах:

Требования о выкупе

Скринлок, встающий обоями

HTML-записка о выкупе со ссылками на Tor-сайт

Содержание сообщений о выкупе:
В одном из сообщений с требованием выкупа, авторы шифровальщика поясняют, что:
- ПК не был защищен, т.к. пользователь не уделял должного внимания безопасности данных;
- пользовательские файлы были зашифрованы с помощью алгоритма RSA-2048;
- никто в мире не сможет расшифровать файлы без оригинального ключа;
- только после проведения оплаты все файлы будут восстановлены;
- любая попытка расшифровать файлы самостоятельно бесполезна;
- попытка форматировать диск и восстановить данные найдет только зашифрованные файлы;
- рекомендуется сразу удалить антивирус, т.к. его работа приведет к полной потере файлов.

Распространяется с помощью email-спама и вредоносных вложений.

Инфицировав целевое устройство, крипто-вымогатель ищет и шифрует пользовательские файлы на локальных и сетевых дисках, буквально перебирает все буквы алфавита: A: B: C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:

Для процесса шифрования вымогатель использует функцию Microsoft CryptoAPI. Для того, чтобы отслеживать файлы, которые он зашифровал, вымогатель хранит эту информацию в базе данных SQLite на диске.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .3gp, .7z, .accdb, .ai, .arc, .arw, .asp, .aspx, .avi, .bad, .bay, .bmp, .c, .cam, .cdr, .cer, .cineon, .cpp, .cr2, .crt, .crw, .css, .csv, .ctl, .dat, .db, .dbf, .dcr, .der, .des, .dicom, .dng, .doc, .docm, .docx, .dotm, .dotx, .dsc, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .fmb, .fmt, .fmx, .gif, .hdr, .html, .iif, .img, .indd, .jpe, .jpeg, .jpg, .js, .kdc, .log, .lst, .m4v, .mdb, .mdf, .mef, .mov, .mpeg, .mrw, .nd, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .openexr, .ora, .orf, .p12, .p7b, .p7c, .pbm, .pck, .pdd, .pdf, .pef, .pem, .perl, .pfx, .pgm, .php, .pic, .pkb, .pks, .pl, .plb, .pls, .png, .pot, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prn, .psb, .psd, .pst, .ptx, .qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .r3d, .raf, .rar, .raw, .rdf, .rdo, .rep, .rex, .rtf, .rw2, .rwl, .sldm, .sldx, .sql, .srf, .srw, .sti, .swf, .sxi, .thmx, .tiff, .tlg, .tlg, .txt, .vdi, .wb2, .wpd, .wps, .xbm, .xlam, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xml, .yaml, .zip (162 расширения). 

Из них ряд расширений относится к бухгалтерской программе QuickBooks (.qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .tlg). 

Примечательно, что декриптер от вымогателей при дешифровке меняет расширения зашифрованных файлов с .encrypted на .encrypted.decrypted

Файлы, связанные с Ransomware:
C:\Users\User_name\Desktop\csrss.exe - основной файл шифровальщика;
C:\Users\User_name\AppData\Local\Temp\keepalive.exe - файл прикрытия;
C:\Users\User_name\AppData\Local\Temp\wlp.jpg - файл обоев (красный).

Файлы из проекта вымогателя: 
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\CryptoApp.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\KeepAlive.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\SelfDestroy.pdb

Записи реестра, связанные с Ransomware:

Сетевые подключения:
guhvuoz7am24b5mv.onion
cryptorepairsystems.com (80.242.123.197)

Степень распространённости: низкая.
Подробные сведения собираются.

Ссылка на подробный исследовательский отчет >>
Ссылка на дополнение к этому отчету >>