CrypMIC

CrypMIC Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,2 биткоина. По истечении времени сумма выкупа увеличится до 2,4 биткоина. 

© Генеалогия: CryptXXX (имитация) > CrypMIC

Специалисты сравнили два крипто-вымогателя по ряду признаков и считают, что у них есть относительное родство или некоторое заимствование. 

Никаких расширений к зашифрованным файлам не добавляется, потому жертве разобраться в том, какие файлы были зашифрованы, довольно сложно. 

Записки о выкупе сделаны в трех вариантах: README.TXT, README.html, README.BMP.

Записка о выкупе CrypMIC

Записка о выкупе CryptoXXX (для сравнения)

Перевод текста CrypMIC на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием с RSA4096
Подробную информацию о ключах шифрования с RSA4096 ищите здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это случилось?
!!! Специально для вашего ПК создан персональный ключ RSA4096, открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который был передан на ПК через Интернет.
!!! Дешифровать файлы можно только с помощью секретного ключа и декриптора с нашего секретного сервера.
Что мне делать?
Есть два способа, которые можете выбрать: ждать _чуда_ и _заплатить_двойную цену! Или получить БИТКОИНЫ СЕЙЧАС! и вернуть _ВАШИ_ФАЙЛЫ ...
Если у Вас есть ценные _ДАННЫЕ_, вам лучше _НЕ_ТЕРЯТЬ_ВРЕМЯ_, потому что _НЕТ_ другого способа получить свои файлы, за исключением того, сделать ... оплату...
Ваш персональный ID: ***
Для подробных инструкций откройте ваш персональный сайт, есть несколько адресов, указывающих на вашу страницу ниже: ...
Если по каким-то причинам адреса недоступны, сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - Видео-инструкция: ***
3 - После успешной установки запустить браузер
4 - Ввести в адресной строке: ***
5 - Следуйте инструкциям на сайте

Сравнение CrypMIC и CryptoXXX

CrypMIC не прописывается в автозагрузку системы, но способен шифровать 901 тип файлов. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

CrypMIC использует для распространения те же методы, что и CryptXXX, в частности, набор эксплойтов Neutrino, размещенный на взломанных сайтах и во вредоносной рекламе. Может распространяться и с помощью других наборов эксплойтов, в частности RIG, а также с помощью фальшивых обновлений Adobe Flash Player. 

CrypMIC имеет проверочную подпрограмму VM, может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер, для связи с которым используется собственный протокол через TCP-порт 443, как и у CryptoXXX. 

CrypMIC способен шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Причем, CrypMIC шифрует информацию только на тех сетевых дисках, которые отображаются в карте сети. 

CrypMIC не похищает учётные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX. 

Сервис дешифрования, используемый создателями CrypMIC, тоже имеет определённое сходство с сервисом дешифрования CryptoXXX.

Сервис дешифрования CrypMIC 

Сервис дешифрования CryptXXX (для сравнения)

Впервые CrypMIC исследован и описан в блоге TrenMicro как RANSOM_CRYPMIC. 

Новый детект на VirusTotal >>
Ссылка на MTA >>
Топик поддержки на BC >>

Степень распространенности: перспективно высокая
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 сентября 2018:
Посты в Твиттере >>
Скриншоты записок:

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as CrypMIC )
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Lawrence Abrams
 Andrew Ivanov, Marcelo Rivero, GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.