четверг, 21 июля 2016 г.

CrypMIC Ransomware


  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,2 биткоина. По истечении времени сумма выкупа увеличится до 2,4 биткоина. Никаких расширений к зашифрованным файлам не добавляется, потому жертве разобраться в том, какие файлы были зашифрованы, довольно сложно. 

Записки о выкупе сделаны в трех вариантах: README.TXT, README.html, README.BMP.
Записка о выкупе CrypMIC

Записка о выкупе CryptoXXX (для сравнения)

Перевод текста CrypMIC на русский язык:

НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com

Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием с RSA4096
Подробную информацию о ключах шифрования с RSA4096 ищите здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Как это случилось?
!!! Специально для вашего ПК создан персональный ключ RSA4096, открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который был передан на ПК через Интернет.
!!! Дешифровать файлы можно только с помощью секретного ключа и декриптора с нашего секретного сервера.

Что мне делать?
Есть два способа, которые можете выбрать: ждать _чуда_ и _заплатить_двойную цену! Или получить БИТКОИНЫ СЕЙЧАС! и вернуть _ВАШИ_ФАЙЛЫ ...
Если у Вас есть ценные _ДАННЫЕ_, вам лучше _НЕ_ТЕРЯТЬ_ВРЕМЯ_, потому что _НЕТ_ другого способа получить свои файлы, за исключением того, сделать ... оплату...

Ваш персональный ID: ***
Для подробных инструкций откройте ваш персональный сайт, есть несколько адресов, указывающих на вашу страницу ниже: ...

Если по каким-то причинам адреса недоступны, сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - Видео-инструкция: ***
3 - После успешной установки запустить браузер
4 - Ввести в адресной строке: ***
5 - Следуйте инструкциям на сайте


CrypMIC не прописывается в автозагрузку системы, но способен шифровать 901 тип файлов. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

CrypMIC использует для распространения те же методы, что и CryptXXX, в частности, набор эксплойтов Neutrino, размещенный на взломанных сайтах и во вредоносной рекламе. Может распространяться и с помощью других наборов эксплойтов, в частности RIG, а также с помощью фальшивых обновлений Adobe Flash Player. 

CrypMIC имеет проверочную подпрограмму VM, может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер, для связи с которым используется собственный протокол через TCP-порт 443, как и у CryptoXXX. 

CrypMIC способен шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Причем, CrypMIC шифрует информацию только на тех сетевых дисках, которые отображаются в карте сети. 

CrypMIC не похищает учётные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX. 

Сервис дешифрования, используемый создателями CrypMIC, тоже имеет определённое сходство с сервисом дешифрования CryptoXXX.
Сервис дешифрования CrypMIC 

Сервис дешифрования CryptXXX (для сравнения)


Впервые CrypMIC исследован и описан в блоге TrenMicro как RANSOM_CRYPMIC

Новый детект на VirusTotal >>

Степень распространенности: перспективно высокая
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *