Если вы не видите здесь изображений, то используйте VPN.

пятница, 10 июня 2016 г.

Crysis XTBL

Crysis XTBL Ransomware

(шифровальщик-вымогатель) 

Translation into English



   Семейство вымогателей Crisis способно шифровать файлы на жёстких, съёмных и сетевых дисках с помощью AES-256 (CBC-режим, RSA-ключ). CrySiS и Crysis XTBL созданы и распространялись из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 

Обнаружения:
Dr.Web -> Trojan.Encoder.3953

© Генеалогия: CrySiS > Crysis XTBLDharmaPhobos

Этимология названия:
Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году. В аббревиатуре XTBL можно угадать некоторые фразы русскоязычной обсценной лексики, в том числе англизированной, типа hyu_tebe_bleat.  

Зашифрованные файлы получают расширение .xtbl, которое дополняется email-адресом вымогателей. Таким образом, фактически стало использоваться составное расширение по шаблонам 
.ID%variable%.{email_address}.xtbl
.centurion_legion@aol.com.xtbl

Позже стали известны как минимум 4 модификации вариаций этого семейства вымогателей, отличающиеся способом шифрования файлов, и 5 версий, различающиеся способом именования:
*.{email}.ext
*.ID*.email.xtbl
*.ID*.{email}.xtbl
*.id-*.{email}.ext
*.{email}.xtbl

Записка с требованием выкупа называется: How to decrypt your files.txt

В некоторых случаях используется еще изображение DECRYPT.jpg с текстом, заменяющее обои Рабочего стола. В изображениях обыгрываются темы чернобыльской катастрофы, игры Crysis, фотографии спецназа и прочее. 



Технические детали

  Распространяется Crysis XTBL с февраля 2016 с помощью email-спама и вредоносного вложения, содержащего файлы с двойным расширением. Также может распространяться под видом установщиков для различных легитимных приложений. 

  По данным СМИ CrySiS вместе с "продолжением" Crysis XTBL занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами шифровальщика в основном стали жители России, Японии, Южной Кореи, Бразилии и других стран. 

➤ Чтобы закрепиться в системе прописывается в автозагрузку. После запуска в системе он шифрует 185 типов файлов и файлы без расширений на локальных и съемных дисках (USB и внешних), на сетевых ресурсах, оставляя нетронутыми только файлы, нужные операционной системе и файлы вредоносной программы. После шифрования все теневые копии файлов удаляются. 

Crisis отправляет имя компьютера и несколько зашифрованных файлов на удаленный сервер, подконтрольный злоумышленникам. В некоторых версиях ОС Windows, он также пытается запустить себя с правами администратора, таким образом, расширяя список файлов, которые будут зашифрованы. Crisis также собирает с зараженного ПК информацию о логин-паролях, сгенерированных программами данных, из мессенджеров, адресной книги, из браузеров, веб-камеры, буфера обмена и также оправляет их на удаленный сервер. 

  После завершения своих вредоносных намерений, создается текстовый файл How to decrypt your files.txt и сохраняется на Рабочем столе. В некоторых случаях используется еще файл DECRYPT.jpg, который заменяет обои рабочего стола, показывая сообщение с требованием. 

Вот примеры таких изображений. 



  Информация из записки о выкупе ограничена двумя email-адресами вымогателей. После отправки письма вымогателям жертва получает дальнейшие инструкции. Ответ включает в себя стоимость декриптора (от 400 до 900 евро), указание купить биткоины и отправить их на Bitcoin-адрес вымогателей.

Вот известные электронные адреса вымогателей:
dalailama2015@protonmail.ch
Vegclass@aol.com
a_princ@aol.com
TREE_OF_LIFE@INDIA.COM
redshitline@india.com
milarepa.lotos@aol.com
Ecovector3@aol.com
Eco_vector@aol.com
Eco_vector@india.com
sub_zero12@aol.com
gerkaman@aol.com
freetibet@india.com
cyber_baba2@aol.com
siddhiup2@india.com
gruzinrussian@aol.com
ramachandra7@india.com
goldman0@india.com
centurion_legion@aol.com
legioner_seven@aol.com

Степень распространённости: высокая
Подробные сведения собираются. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author), Emmanuel_ADC-Soft
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *