Если вы не видите здесь изображений, то используйте VPN.

вторник, 5 апреля 2016 г.

CryptoMix

CryptoMix Ransomware 

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 5 биткоинов, чтобы вернуть файлы обратно. Чтобы оправдать такую завышенную сумму, вымогатели придумали сказку о том, что деньги пойдут на благотворительность. 

© Генеалогия: CryptoMix > CryptFIle2
© Генеалогия: CryptoMix > Lesli
© Генеалогия: CryptoMix > RDMK
© Генеалогия: CryptoMix > CryptoShield 1.0 > CryptoShield 2.0
© Генеалогия: CryptoMix > Mole > Mole 2.0
© Генеалогия: CryptoMix > Revenge
© Генеалогия: CryptoMix > Wallet

© CryptoMix Revenge generation
© CryptoMix Revenge поколение:
AzerNoobExte, PirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILETastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019

Этимология названия:
Название связано с тем, что этот крипто-вымогатель представляет собой мешанину (mix) из других криптовымогателей: CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. Иногда его ещё называют CryptMix. Активность этого крипто-вымогателя (оригинальной версии) пришлась на март-апрель-май 2016 г. 

К зашифрованным файлам добавляется расширение .code, составленное по шаблону (FILE_NAME.EXTENSION).id_(ID_MACHINE)_email_xoomx@dr.com_.code. 

Пример имени зашифрованного файла: photo.jpg.id_4cef26603863_email_xoomx@dr.com_.code

Записки с требованием выкупа помещаются во всех папках с файлами, а называются:
HELP_YOUR_FILES.html — название взято от CryptXXX
HELP_YOUR_FILES.txt — взято от Cryptowall 3.0, 4.0



Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSAj-2048 key, both public and private.
!!! ALL YOUR files were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with tne help of the private key and decrypt program, which is on our Secret Server
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining bitcoin now! , and restore your data easy way. 
If you have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions:
Contact us by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 12 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
E-MAIL1: xoomx@dr.com
E-MAIL2: xoomx@usa.com
YOUR_ID: 4cef26603863

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048.
Более подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
Как это произошло ?
!!! Специально для вашего ПК был создан персональный RSA-2048 ключ, и открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, переданного с компьютера через Интернет.
!!! Дешифрование файлов возможно только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере.
Что мне делать?
Есть два способа, которые вы можете выбрать: ждать чуда и увеличить цену в 2 раза, или начать получать Bitcoin прямо сейчас! , И восстановить данные легким путём. 
Если у вас есть действительно ценные данные, то лучше не тратить свое время, т.к. нет никакого другого пути получить ваши файлы, кроме как совершить платеж.
Подробные инструкции:
Свяжитесь с нами по email, пришлите ваш ID номер и ждите дальнейших указаний. Наш специалист свяжется с Вами за 12 часов.
Для подтверждения, что мы можем расшифровать ваши файлы - вы можете прислать нам 1 зашифрованный файл, и мы вернем вам его в расшифрованном виде. Это будет ваша гарантия.
E-Mail1: xoomx@dr.com
E-Mail2: xoomx@usa.com
Your_ID: 4cef26603863



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, письма содержат ссылки на вредоносные веб-сайты, зараженные набором эксплойтов, которые используют уязвимости в браузерах пользователей и их плагинов для доставки и установки CryptoMix. 

Попав на ПК жертвы, CryptoMix автоматически запускает сканирование и поиск 864 различных типов файлов. Потом CryptoMix пытается связаться со своим C&C-сервером, чтобы установить ключ для шифрования файлов (с алгоритмом AES-256). Если сервер недоступен или нет интернет-подключения, то CryptoMix будет шифровать файлы с одним из его основных ключей "в автономном режиме".

После завершения процесса шифрования, CryptoMix размешает записку с требованием выкупа, заимствуя HTML-записку у к/в CryptXXX, а TXT-записку — у CryptoWall.

Вымогатели, назвавшиеся Charity Team, предлагают вместе с уникальным ключом защиту ПК и бесплатную техническую поддержку для решения любых проблем с ПК в течение 3 лет. Деньги якобы будут потрачены на благотворительность, некие дети получат подарки и медицинскую помощь, а имя заплатившего 5 биткоинов будет в этом благотворительном списке. Через 24 часа сумма выкупа удвоится.

После шифрования теневые копии файлов удаляются. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1, .1st, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .4db, .73i, .7z, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af3, .aft, .afx, .agif, .agp, .ai, .aic, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .ar, .arc, .art, .artwork, .arw, .as, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asw, .asx, .asy, .at, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .ba, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bik, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .byu, .bz, .bza, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfg, .cfu, .cgm, .chart, .chord, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .cp, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .dat, .db, .db-shm, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dcs, .dct, .dcx, .dd, .ddl, .ddoc, .dds, .ded, .design, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djvu, .dm3, .dmo, .dmp, .dnc, .dne, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dts, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dxb, .dxf, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .err, .etf, .euc, .exr, .f, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi, .fic, .fid, .fif, .fig, .fil, .flac, .fli, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpt, .fpx, .ft7, .ft8, .ft9, .ftn, .fwdn, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gim, .gio, .gl, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hpp, .hs, .htm, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .igt, .igx, .ihx, .iiq, .imd, .indd, .info, .ink, .int, .ipx, .it, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jis, .jng, .joe, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .js, .jtx, .jxr, .kdb, .kdc, .kdi, .kdk, .key, .kic, .knt, .kon, .kpg, .kwd, .latex, .lay, .layout, .lbm, .lbt, .lgc, .lit, .ljp, .log, .ltr, .ltx, .lue, .lws, .lyt, .lyx, .m3d, .m3u, .m4v, .ma, .mac, .maf, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5, .mdb, .mdf, .mdn, .mdt, .me, .mft, .mgcb, .mgmx, .mgt, .min, .mkv, .mmat, .mng, .mnt, .mob, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .ocr, .odb, .odo, .ods, .odt, .of, .oft, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ow, .owc, .owg, .oyx, .oz, .ozb, .ozj, .p7s, .p96, .p97, .pages, .pal, .pano, .pap, .pas, .pbm, .pc3, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pf, .pfd, .pff, .pfs, .pfx, .pgf, .pgm, .phm, .php, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .pps, .ppt, .pptm, .pptx, .prw, .ps, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .pu, .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qvd, .r3d, .ra, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .readme, .rgb, .rib, .ris, .rl, .rle, .rli, .rm, .rp, .rpd, .rpt, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sav, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smi, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tar, .tb0, .tbn, .tcx, .tdf, .tdt, .teacher, .tex, .text, .tfc, .tg, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .to, .tp, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .uga, .unauth, .unity, .unx, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vb, .vbr, .vc, .vct, .vda, .vdb, .vec, .vml, .vnt, .vpd, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vw, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw (864 расширения). 

Копия исходного файла имеет в названии идентификатор инфицированного ПК:
C:\Users\pc\AppData\Roaming\AdobeFlashPlayer_4cef26603863.exe (AdobeFlashPlayer_(MACHINE_ID).exe)



Данные о зашифрованных файлах отправляются на C&C-сервер, расположенный на IP-адресах, приписанных к Украине. Ключи шифрования управляются и сохраняются с помощью компонента ola.php. Маршруты хранятся и управляются с помощью компонента d1.php со следующей структурой: /fs/l/d1.php?id=(ID_MAQUINA)&log=(PATH_TO_FILE). Первая жертва шифровальщика отмечена 24 апреля.

Используются и модифицируются следующие ключи реестра:
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader UpdateSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Adobe Reader Update32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AdobeFlashPlayerSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*AdobeFlashPlayers32
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeFirstVersionSoftWare
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeLicensionSoftWare

Email вымогателей
xoomx@dr.com и xoomx@usa.com

Результаты анализов: 
Гибридный анализ >>
VirusTotal анализ >>


Степень распространённости: высокая, включая новые итерации.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Смотрите в начале статьи. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 14 декабря 2016:
Пост в Твиттере >>
Файлы: radEF352.tmp.exe
Фальш-имя: Microsoft Decode Ransomware
Расширение: .lesli
Шаблон: .email[supl0@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl0@post.com, supl0@oath.com
Результаты анализов: VT, HA


Обновление от 9 января 2017:
Пост в Твиттере >>
Файл: MS SecurityFiles.exe
Фальш-имя: MS SecurityFiles.
Расширение: .lesli
Шаблон: .email[supl@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl@post.com, supl@oath.com
Результаты анализов: VT, HA

Обновление от 23 января 2017:
Пост в Твиттере >>
Файлы: Microsoft Decryptor Ransomware.exe
Фальш-имя: Security SoftWare Shield
Расширение: .email_id.rdmk или .email[email_ransom]_id[id_ransom].rdmk
Пример зашифр. файла: *filename*.email[*email*]_id[*id*].rdmk
Записка: INSTRUCTION RESTORE FILE.txt
Email: supls@post.com, supls@oath.com
Результаты анализов: VT

Обновление 31 января 2017:
CryptoMix > CryptoShield 1.0

Обновление 14 февраля 2017:
CryptoMix > CryptoShield 2.0

Обновление 14 февраля 2017:

CryptoMix > MOLE
Пост в Твиттере >>
Записка: INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT
<< Скриншот записки
Расширение .MOLE
Email: oceanm@engineer.com, oceanm@india.com
Шаблон зашифрованного и переименованного файла: <random_hex [0-9, A_Z] {32}>.MOLE
Пример зашифрованного и переименованного файла: 0AB5F30F23AB8B8AC537A07123C45066.MOLE
Аналогичная схема присвоения имен и поддельные оповещения как у CryptoMix.

Обновление от 17 июля 2017: 
Пост в Твиттере >>
Файлы: <random>.exe
Фальш-имя: InfoVxtreme
Расширение: .CK
Записка: _HELP_INSTRUCTION.TXT
Email: ck01@techmail.info, ck02@decoymail.com, ck03@protonmail.com
Результаты анализов: VT
См. статью CK Ransomware >>

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .ZERO
Записка: _HELP_INSTRUCTION.TXT
Email: zero@hook.work
Результаты анализов: HA+VT, +VT

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .DG
Файл: Labs.exe
Записка: _HELP_INSTRUCTION.TXT
Результаты анализов: VT
Hello!
Содержание записки: 
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your id number:
dg01@msgden.net
dg02@armormail.net
dg01@protonmail.com
We will help you as soon as possible!
DECRYPT-ID-********** number

Обновление от 24 августа 2017: 
Пост в Твиттере >>
Расширение: .EMPTY
На файле написано: RacePostings
Результаты анализов: VT
<< Скриншот записки
См. статью CryptoMix-Empty Ransomware >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для некоторых оффлайн вариантов CryptoMix есть дешифровщик
Поддериваются варианты с расширениями: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl, .MOLE
Скачайте дешифровщик от Avast по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoMix, CryptoMix Wallet, CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero, BleepingComputer
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *