четверг, 12 мая 2016 г.

Crypren

Crypren Ransomware 


   Этот криптовымогатель шифрует данные, а затем требует 0.1 Bitcoins (45.06 USD), чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам удалось создать дешифратор DecryptCrypren. Шифрование в данном случае условно, скорее это базовая арифметика, больше похожая на обфускацию, чем шифрование. Просто генерируется случайная строка, а затем дополняется байтами, полученными с помощью ключа, взятого из каждого 64-байтного блока.

  К зашифрованным файлам добавляется расширение .encrypted . Закончив шифрование, вымогатель выводит на экране следующее сообщение, призывающее жертву перезагрузить ПК, чтобы получить инструкции и прочитать записку о выкупе READ_THIS_TO_DECRYPT.html


HTML-записка о выкупе. 

Файл READ_THIS_TO_DECRYPT.html размещается во всех системных папках и информирует жертву о том, то случилось с файлами. Для оплаты выкупа прилагается Bitcoin-адрес, на который нужно сделать перевод денег: Предупреждается, что ключ шифрования будет удалена через одну неделю после заражения компьютера. Но это требование, как показало изучение, не соответствует действительности.

Кнопки "How to buy Bitcoins #1" и "How to buy Bitcoins #2" внизу требования информируют жертву, как она может купить биткоины для последующей уплаты выкупа. 

 Согласно записи в реестре, файл READ_THIS_TO_DECRYT.html также отображается при каждом запуске системы. 
Записка о выкупе прописывается в автозагрузку.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .accde, .accdr, .accdt, .bmp, .cpp, .cs, .css, .csv, .csy, .doc, .docm, .docx, .docxml, .docz, .gif, .gzip, .html, .jpg, .jpg2, .mdb, .mp3, .mp4, .mp4infovid, .mp4v, .pdf, .php, .php3, .png, .ppt, .pptm, .pptx, .py, .rar, .rar5, .rb, .rtf, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .swfhtml, .tar, .targz, .targz2, .tarlzma, .tarxz, .txt, .xlmv, .xls, .xlsm, .xlsx, .xml, .zip, .zipx 

Как показало исследование, ключ шифрования хранится непосредственно в каждом из измененных файлов, потому этот помогло получить информацию без оплаты его создателей. Пароль имеет буквенно-цифровой код длиной 64 байта. 

После дешифровки с помощью утилиты DecryptCrypren к дешифрованным файлам добавляется расширение .decrypt. Например, зашифрованный файл изображения test.jpg.ENCRYTED станет test.jpg.ENCRYTED.decrypt .

Файлы, связанные с Crypren Ransomware:
Crypren.exe
READ_THIS_TO_DECRYPT.html
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\READ_THIS_TO_DECRYPT.html

Записи реестра, связанные с Crypren Ransomware:
См. ниже гибридный анализ.

Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттпs://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
хттп://www.openssl.org/support/faq.html

Результаты анализов:

Степень распространённости: низкая. 
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton