Crypren Ransomware
Этот криптовымогатель шифрует данные, а затем требует 0.1 Bitcoins (45.06 USD), чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам удалось создать дешифратор DecryptCrypren. Шифрование в данном случае условно, скорее это базовая арифметика, больше похожая на обфускацию, чем шифрование. Просто генерируется случайная строка, а затем дополняется байтами, полученными с помощью ключа, взятого из каждого 64-байтного блока.
К зашифрованным файлам добавляется расширение .encrypted . Закончив шифрование, вымогатель выводит на экране следующее сообщение, призывающее жертву перезагрузить ПК, чтобы получить инструкции и прочитать записку о выкупе READ_THIS_TO_DECRYPT.html
HTML-записка о выкупе.
Файл READ_THIS_TO_DECRYPT.html размещается во всех системных папках и информирует жертву о том, то случилось с файлами. Для оплаты выкупа прилагается Bitcoin-адрес, на который нужно сделать перевод денег: Предупреждается, что ключ шифрования будет удалена через одну неделю после заражения компьютера. Но это требование, как показало изучение, не соответствует действительности.
Кнопки "How to buy Bitcoins #1" и "How to buy Bitcoins #2" внизу требования информируют жертву, как она может купить биткоины для последующей уплаты выкупа.
Согласно записи в реестре, файл READ_THIS_TO_DECRYT.html также отображается при каждом запуске системы.
Записка о выкупе прописывается в автозагрузку.
Список файловых расширений, подвергающихся шифрованию:
.accdb, .accde, .accdr, .accdt, .bmp, .cpp, .cs, .css, .csv, .csy, .doc, .docm, .docx, .docxml, .docz, .gif, .gzip, .html, .jpg, .jpg2, .mdb, .mp3, .mp4, .mp4infovid, .mp4v, .pdf, .php, .php3, .png, .ppt, .pptm, .pptx, .py, .rar, .rar5, .rb, .rtf, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .swfhtml, .tar, .targz, .targz2, .tarlzma, .tarxz, .txt, .xlmv, .xls, .xlsm, .xlsx, .xml, .zip, .zipx
Как показало исследование, ключ шифрования хранится непосредственно в каждом из измененных файлов, потому этот помогло получить информацию без оплаты его создателей. Пароль имеет буквенно-цифровой код длиной 64 байта.
После дешифровки с помощью утилиты DecryptCrypren к дешифрованным файлам добавляется расширение .decrypt. Например, зашифрованный файл изображения test.jpg.ENCRYTED станет test.jpg.ENCRYTED.decrypt .
Файлы, связанные с Crypren Ransomware:
Crypren.exe
READ_THIS_TO_DECRYPT.html
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\READ_THIS_TO_DECRYPT.html
Записи реестра, связанные с Crypren Ransomware:
См. ниже гибридный анализ.
Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттпs://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
хттп://www.openssl.org/support/faq.html
Результаты анализов:
Подробные сведения собираются.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.