воскресенье, 10 января 2016 г.

CryptoJoker

CryptoJoker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в биткоинах, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .crjoker. Активность этого криптовымогателя пришлась на январь-март 2016 г. Ориетирован на англоязычных и русскоязычных пользователей. 

На русском языке название звучит как КриптоДжокер. Не путайте с CryptoLocker (КриптоЛокер). 

 Записки с требованием выкупа называются: README!!!.txt, GetYouFiles.txt, crjoker.html. Последний фактически является экраном блокировки с отсчетом оставшегося времени. Текст написан на русском и английском языках. 

Содержание записки о выкупе: 
ENGLISH:
Your personal files were encrypted using RSA key cryptographically!
It decrypts files can be knowing a unique, private RSA key length of 2048 bits, which is only for us.
Write to us at mail: file987@sigaint.org Spare mails: file9876@openmail.cc or file987@tutanota.com
Instructions for payment will be sent in the opposite letter.
After payment we will send your key and decoder.
And remember, you only have 72 hours to make a payment, then the price will rise to decipher.
Attempts to decipher on their own will not lead to anything other than irretrievable loss of information.
Your unique key that is required to send to the specified email:
Good luck.

RUSSIAN:
Ваши личные файлы были зашифрованы при помощи криптостойкого RSA ключа!
Расшифровать файлы можно зная уникальный, закрытый RSA ключ длиной 2048 бит, который есть только у нас.
Напишите нам на мейл: file987@sigaint.org Запасные мейлы: file9876@openmail.cc или file987@tutanota.com
Инструкция для оплаты будут высланы в обратном письме.
После оплаты мы вышлем ваш ключ и дешифратор.
И помните, у вас есть только 72 часа, чтобы произвести оплату, потом цена на расшифровку поднимется.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Ваш уникальный ключ, который обязательно вышлите на указанный email:
Удачи.

Перевод записки на русский язык: 

Не требуется, т.к. уже сделан самими вымогателями.

  Распространяется с помощью email-спама и вредоносных вложений. Установщик CryptoJoker маскируется под PDF-файл. После запуска установщика на выполнение будет докачано и сгенерировано нужное количество исполняемых файлов в папке %Temp% и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

  Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный вserver6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

Код, используемый для отправки такой информации, приведён ниже.


В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы.

С помощью этого пакетного файла выполняются следующие команды:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe delete shadows /all /quiet


Экран блокировки отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций. [Для сведения: Экран блокировки будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe].




Экран блокировки


При отправке письма вымогателям пострадавшая сторона должна скопировать строку текста, зашифрованную с алгоритмом RSA, из этого окна, или продублированную в файле README!!!.TXT в папке %Temp%.

Файлы, связанные с 
CryptoJoker Ransomware: 
%Temp%\crjoker.html
%Temp%\drvpci.exe
%Temp%\GetYouFiles.txt
%Temp%\imgdesktop.exe
%Temp%\new.bat
%Temp%\README!!!.txt
%Temp%\sdajfhdfkj
%Temp%\windefrag.exe
%Temp%\windrv.exe
%Temp%\winpnp.exe
%AppData%\dbddbccdf.exe
%AppData%\README!!!.txt22

Записи реестра, связанные с CryptoJoker Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe

Ранний детект на VirusTotal >>>
Июльский детект на VirusTotal >>>

Степень распространённости: средняя.
Подробные сведения собираются.

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *