Cute, my-Little

Cute Ransomware

cuteRansomware

my-Little-Ransomware

(шифровальщик-вымогатель)

   В основе крипто-вымогателя Cute Ransomware лежит Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао, выложенная им в феврале 2016 на Github. 

  Согласно описанию, my-Little-Ransomware представляет собой простой инструмент для создания крипто-вымогателей, написанный на C# (CSharp). Ма Шенхао (кстати, имя Shenghao переводится с китайского как "Добрый знак") писал несколько вымогателей в исследовательско-учебных целях для SITCON 2016 (китайской студенческой конференции по информационным технологиям). И только my-Little-Ransomware (другое авторское название CSharpRansomware) получился таким, что не детектировался ни одним из антивирусов. Ма Шенхао приложил скриншот с VirusTotal, где нет детекта ни одного детекта. Разработчик даже не предполагал, что его программа станет оружием в руках киберпрестпником и породит несколько реальных крипто-вымогателей. В его my-Little-Ransomware использовался AES-128 для шифрования данных. 

В my-Little-Ransomware список файловых расширений, подвергающихся шифрованию, был следующим:

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений).

В Cute Ransomware же задан урезанный набор целевых расширений:
.bmp, .cpp, .csr, .docx, .enc, .jpg, .pcap, .pdf, .pem, .png, .pptx, .py, .txt, .zip (14 расширений).

  Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted, записанным на китайском языке .已加密, а затем отправляет ключи в Google Docs. Из чего следует, что вымогатель ориентирован только на китайских пользователей. Распространяется с помощью попутных загрузок. 

  Расчет кибер-преступников прост: "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. "Авторы вредоносных программ перешли к более широкому использованию облака, для доставки вредоносных программ и эксфильтрации данных с помощью C&C-серверов, а отсутствие традиционных средств обнаружения в SSL становится огромным преимуществом для них"... "Организациям, использующим сервис Google Docs в качестве основного, практически невозможно защититься. Чтобы предотвратить атаку этих вымогателей, нужно избирательно блокировать конкретный экземпляр приложения, связанный с этим вымогателем, позволяя работу только с санкционированными экземплярами Google Docs". 

  Первые крипто-вымогатели, основанные на my-Little-Ransomware, были замечены в середине июня. А неделю назад фирма Netskope подловила еще один похожий вредонос, в коде которого была строка cuteRansomware, которая и стала названием для всех вымогателей на его основе.

Добавление от 21 июля 2016
Один из китайских вариантов
Расширение: .cke
Записка о выкупе: 文件加密警告warning.txt (File Encryption Warning)

Китайский текст:
由于您曾经使用了盗版软件，您的大部分文件暂时被AES-128加密：office文件，图片，文本文档，数据库等。需要支付软件版权费用才能恢复所有文件。请联系邮箱imugf@outlook.com支付版权费。
说明：1.不要删除桌面上任何文件！否则永远无法恢复被加密的文件。2.AES-128是高级加密标准，拥有极佳的安全性，除了我们没有任何人能恢复所有文件。

Английский текст:
Warning: Since you have used pirated software, most of your files have been encrypted by AES-128: office files, images, text files, databases, etc.. You must pay software copyright fees to recover all the files. Please contact email imugf@outlook.com to pay copyright fees.
Note: 1. Do not delete any files on the desktop! Otherwise, you can never recover the encrypted files. 
2. AES-128 is advanced encryption standard, with excellent security, in addition to our no one can recover all the files.

Перевод на русский:
Внимание: Раз вы использовали пиратский софт, многие ваши файлы были зашифрованы с AES-128: офисные файлы, изображения, текстовые файлы, базы данных и т.д. Вы должны оплатить сбор за копирайт софта, чтобы вернуть все файлы. Пишите нам на imugf@outlook.com для оплаты сбора.
Важно: 1. Не удаляйте файлы на рабочем столе! Иначе вы не вернете зашифрованные файлы.
2. AES-128 передовой стандарт шифрования, с отличной безопасностью, потому никто не вернет вам все файлы.

Файлы, связанные с Cute Ransomware:
Ransomware.exe
文件加密警告warning.txt

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: средняя и перспективно высокая. 
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.