Kriptovor

Kriptovor Ransomware

(шифровальщик-вымогатель)

Translation into English

  Этот крипто-вымогатель шифрует данные с помощью AES-шифрования, а затем требует написать на email-адрес вымогателей, чтобы узнать стоимость декриптора. 

© Генеалогия: Rakhni > Rakhni Family > Kriptovor > Neitrino 

Изображение только логотип статьи

К зашифрованным файлам добавляется расширение .Just. 

Впервые Kriptovor был обнаружен в 2014 году. 

  Данные шифруются на всех локальных и подключенных сетевых дисках. После шифрования удаляются теневые копии файлов. 

  Записка о выкупе называется MESSAGE.txt и оставляется в каждой папке с зашифрованными файлами, на Рабочем столе и в папках Автозагрузки. 

  Говорящее название происходит от слов "крипто" и "вор" и говорит о краже данных. Первоначально Kriptovor и был похитителем паролей, но потом получил дополнительный вымогательский функционал. 

  Kriptovor обнаруживает выполнение в виртуальной среде или отсутствие подключения к Интернету, после чего прерывает шифрование до "лучших" времен. В "лучшее" время устанавливает на ПК фальшивый сертификат и загружает специальный файл с атрибутом "скрытый" — защищенный паролем RAR-архив. Для заражения используется содержащийся в этом архиве файл AdobeSystems.exe. Кроме поиска целевых типов файлов Kriptovor выполняет поиск строк в этих файлах, которые содержат информацию для входа в систему или пароль. Такие файлы помечаются и информация из них собирается до процесса шифрования. Для шифрования файлов используется LockBox 3. 

  Целями вымогателя в основном являются российские предприятия или международные компании, занимающиеся бизнесом в России. 

  Главная особенность, которая отличает Kriptovor от других вымогателей, заключается в том, что Kriptovor может удалить себя независимо от того, была ли успешной задача кражи данных и получения выкупа или нет. Эта особенность делает Kriptovor трудно обнаруживаемым.

Распространяется через email-вложения, которые могут называться примерно так "Резюме на вакантную должность". 
Адреса отправителей постоянно меняются. В ранее собранный список входят:
y.volkova@i-jazz.ru
kirova.l@mutualizm.ru
kirova.ls@orangedv.tmweb.ru
kirova-l@wibor5.ru
abramova.l@wibor5.ru
abramova@sabona.ru
l_abramova@festivalps.ru
l_abramova@wibor5.ru

При неосторожном открытии вложения с названием типа "488ba9382c9ee260bbca1ef03e843981" жертва видит документ Word, предлагающий: "Дважды щелкните, чтобы открыть резюме в Adobe Reader". 

Если жертва и тут бездумно щелкает, то действительно открывается PDF-документ, содержащий резюме девушек, якобы претенденток на вакантную должность, но при этом в систему тайно устанавливается похититель паролей KRIPTOVOR.Infostealer и поддельный сертификат. 

Подробности см. в блоге FireEye.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .accdc, .adp, .afp, .bfa, .bpk, .bsk, .cdr, .cer, .cf, .cfn, .crt, .csr, .dbc, .dbf, .dbt, .dbx, .der, .djvu, .doc, .docm, .docx, .dt, .dwf, .dwg, .dws, .dxe, .dxl, .ebd, .edb, .efb, .efn, .egg, .emd, .eml, .enc, .epf, .eql, .erf, .fb, .fb2, .fc2, .fcz, .fg, .fp3, .htm, .html, .jbc, .jif, .jiff, .jpe, .jpeg, .jpf, .jpg, .just, .kdb, .kdbx, .key, .ldf, .lgp, .md, .mdb, .mdf, .mht, .mxl, .oab, .ost, .p7, .p7b, .p7c, .pab, .pcx, .pdf, .pem, .pfx, .ply, .png, .pov, .ppsx, .ppt, .pptx, .prefab, .psb, .psd, .pst, .rar, .raw, .rev, .rtf, .rzk, .rzx, .sec, .sef, .sgn, .shy, .snk, .sql, .sqlite, .sqlite3, .sqlitedb, .stl, .tbb, .tbn, .tif, .tiff, .txt, .xcf, .xls, .xlsm, .xlsx, .xof, .zip, .zipx (115 расширений).

Степень распространённости: средняя. 
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.