пятница, 10 июня 2016 г.

Crysis XTBL

Crysis XTBL Ransomware

(шифровальщик-вымогатель) 

Translation into English



   Семейство вымогателей Crisis способно шифровать файлы на жёстких, съёмных и сетевых дисках с помощью AES-256 (CBC-режим, RSA-ключ). CrySiS и Crysis XTBL созданы и распространялтсь из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 

Обнаружения:
Dr.Web -> Trojan.Encoder.3953

© Генеалогия: CrySiS > Crysis XTBLDharmaPhobos

Этимология названия:

Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году. В аббревиатуре XTBL можно угадать некоторые фразы русскоязычной обсценной лексики, в том числе англизированной, типа hyu_tebe_bleat.  

Зашифрованные файлы получают расширение .xtbl, которое дополняется email-адресом вымогателей. Таким образом, фактически стало использоваться составное расширение по шаблонам 
.ID%variable%.{email_address}.xtbl
.centurion_legion@aol.com.xtbl

Позже стали известны как минимум 4 модификации вариаций этого семейства вымогателей, отличающиеся способом шифрования файлов, и 5 версий, различающиеся способом именования:
*.{email}.ext
*.ID*.email.xtbl
*.ID*.{email}.xtbl
*.id-*.{email}.ext
*.{email}.xtbl

Записка с требованием выкупа называется: How to decrypt your files.txt

В некоторых случаях используется еще изображение DECRYPT.jpg с текстом, заменяющее обои Рабочего стола. В изображениях обыгрываются темы чернобыльской катастрофы, игры Crysis, фотографии спецназа и прочее. 



Технические детали

  Распространяется Crysis XTBL с февраля 2016 с помощью email-спама и вредоносного вложения, содержащего файлы с двойным расширением. Также может распространяться под видом установщиков для различных легитимных приложений. 

  По данным СМИ CrySiS вместе с "продолжением" Crysis XTBL занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами шифровальщика в основном стали жители России, Японии, Южной Кореи, Бразилии и других стран. 

➤ Чтобы закрепиться в системе прописывается в автозагрузку. После запуска в системе он шифрует 185 типов файлов и файлы без расширений на локальных и съемных дисках (USB и внешних), на сетевых ресурсах, оставляя нетронутыми только файлы, нужные операционной системе и файлы вредоносной программы. После шифрования все теневые копии файлов удаляются. 

Crisis отправляет имя компьютера и несколько зашифрованных файлов на удаленный сервер, подконтрольный злоумышленникам. В некоторых версиях ОС Windows, он также пытается запустить себя с правами администратора, таким образом, расширяя список файлов, которые будут зашифрованы. Crisis также собирает с зараженного ПК информацию о логин-паролях, сгенерированных программами данных, из мессенджеров, адресной книги, из браузеров, веб-камеры, буфера обмена и также оправляет их на удаленный сервер. 

  После завершения своих вредоносных намерений, создается текстовый файл How to decrypt your files.txt и сохраняется на Рабочем столе. В некоторых случаях используется еще файл DECRYPT.jpg, который заменяет обои рабочего стола, показывая сообщение с требованием. 

Вот примеры таких изображений. 

  Информация из записки о выкупе ограничена двумя email-адресами вымогателей. После отправки письма вымогателям жертва получает дальнейшие инструкции. Ответ включает в себя стоимость декриптора (от 400 до 900 евро), указание купить биткоины и отправить их на Bitcoin-адрес вымогателей.

Вот известные электронные адреса вымогателей:
dalailama2015@protonmail.ch
Vegclass@aol.com
a_princ@aol.com
TREE_OF_LIFE@INDIA.COM
redshitline@india.com
milarepa.lotos@aol.com
Ecovector3@aol.com
Eco_vector@aol.com
Eco_vector@india.com
sub_zero12@aol.com
gerkaman@aol.com
freetibet@india.com
cyber_baba2@aol.com
siddhiup2@india.com
gruzinrussian@aol.com
ramachandra7@india.com
goldman0@india.com
centurion_legion@aol.com
legioner_seven@aol.com

Степень распространённости: высокая
Подробные сведения собираются. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author), Emmanuel_ADC-Soft
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

3 комментария:

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton