DetoxCrypto

DetoxCrypto Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2 или 3 биткоина, чтобы вернуть файлы обратно. 

На данный момент известно два варианта: Pokemon и Calipso. 

Записки с требованием выкупа написаны на скринлоках (файлы bg.jpg и pokbg.jpg) и экранах блокировки. 

 Содержание записки о выкупе: 
Your documents, photos, databases and other important files have been encrypted and a unique unlock key is generated!!
You can only unlock your files by buying this key from us, there is no other way to save or unlock your files!!
How to unlock my files?
You need to send 2 bitcoins to our Bitcoin wallet address.
To get the wallet address contact us at: contact365@mail2tor.com
We recommend to buy Bitcoins here: www.localbitcoins.com
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins. 
Locally by entering your city and select cash in person as your paying option.
To save time you can give the seller our bitcoin address and he can send the bitcoins to us directly. 
After we receive the payment we will send you the unlock key to the email you contacted us from.
** Act fast because all your files will be deleted in 96h **
** If you delete this program all your files will be deleted forever **

 Перевод записки на русский язык: 
Ваши документы, фото, базы данных и другие важные файлы зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

Содержание записки о выкупе варианта Calipso может различаться. Или такой же текст или более короткий.

Email вымогателей могут меняться: 
contact365@mail2tor.com
motox2016@mail2tor.com
pokemongo@mail2tor.com

Отображение экран блокировки сопровождается музыкой и представляет собой следующее, см. скришот.

Содержание текста с экрана блокировки:
We are all Pokemons
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED AND A UNIQUE UNLOCK KEY IS GENERATED!!
YOU CAN ONLY UNLOCK YOUR FILES BY BUYING THIS KEY FROM US, THERE IS NO OTHER WAY TO SAVE OR UNLOCK YOUR FILES!!
HOW TO UNLOCK MY FILES?
You need to send 2 Bitcoins to our Bitcoin Wallet address.
To get the Wallet address contact us at : contact365@mail2tor.com
WE RECOMMEND TO BUY BITCOINS HERE :  WWW.LOCALBITCOINS.COM
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins Locally by entering your City and select CASH in person as Your paying option. 
TO SAVE TIME YOU CAN GIVE THE SELLER OUR BITCOIN ADDRESS AND HE CAN SEND THE BITCOINS TO US DIRECTLY. 
AFTER WE RECEIVE THE PAYMENT WE WILL SEND YOU THE UNLOCK KEY TO THE EMAIL YOU CONTACTED US FROM.
** Act fast because ALL YOUR FILES WILL BE DELETED IN 96h **
** IF YOU DELETE THIS PROGRAM ALL YOUR FILES WILL BE DELETED FOREVER **

Перевод на русский: 
Мы все покемоны
Документы, фото, базы и другие важные файлы были зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

 Распространяется с помощью email-спама и вредоносных вложений, с помощью инфицированных файлов и попутных загрузок, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе маскирующихся под известные антивирусы, в частности Malwarebytes (в сентябре 2016). 

Обе версии очень похожи, потому они могли быть созданы в каком-то новом крипто-конструкторе. Или, всё же, это разные версии из разных вредоносных кампаний. Разброс: от Канады до Кореи. 

Анализ версии Pokemon на VirusTotal >>> (файл из Канады)
Анализ версии Calipso на VirusTotal >>> (файл из Кореи)

Они инфицируют ПК через exe-файл, распаковывающийся на 4 других файла: 
- изображение, встающее обоями рабочего стола; 
- звуковой файл, играемый при показе требований о выкупе;
- файл MicrosoftHost.exe, запускающий процесс шифрования;
- exe-файл, блокирующий экран для показа требований о выкупе, проверяющий оплату и запускающий дешифровку файлов. 

Примечательно, что эти вымогатели:
- НЕ используют сайт Tor для обработки платежей;
- НЕ изменяют названия у зашифрованных файлов;
- НЕ добавляют к зашифрованным файлам новое расширение;
- оба ключа (открытый и секретный) генерируют в процессе шифрования;
- завершают на компьютере работу процессов MySQL и MSSQL;
- делают и отправляют снимок рабочего стола вымогателям;
- требуют выкуп на довольно большую сумму — 2 или 3 биткоина. 

DetoxCrypto Pokemon распространяется как исполняемый файл Pokemongo.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Pokemon

Файлы, связанные с DetoxCrypto Pokemon Ransomware: 
pokbg.jpg - изображение для обоев;
Pokemon.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
pok.wav - музыка для фона.

DetoxCrypto Calipso распространяется как исполняемый файл Invoice.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Calipso 

 Файлы, связанные с DetoxCrypto Calipso Ransomware: 
bg.jpg - изображение для обоев;
Calipso.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
sound.wav - музыка для фона. 

Список файловых расширений, подвергающихся шифрованию версии Pokemon: 

.3ds, .acbl, .backup, .bak, .cab, .cdr, .csv, .dat, .dbf, .doc, .docx, .eps, .ibd, .ibz, .iso, .mdb, .mdf, .myd, .pdf, .php, .ppt, .pptx, .psb, .psd, .pst, .rar, .s3db, .sql, .sqlite, .sqlitedb, .tar, .tar.bz2, .txt, .xls, .xlsx, .xlt, .xml, .zip (38 расширений). 

 Список файловых расширений, подвергающихся шифрованию версии Calipso: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx, .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (96 расширений). 

 Записи реестра, связанные с этим Ransomware: 
См. результаты анализов. 

Сетевые подключения и связи:
См. ниже результаты анализов. 

Обновление от 22 сентяря 2016:
Один из вариантов семейства DetoxCrypto стал распространяться под видом антивирусного решения Malwarebytes, причем в названии было сразу две ошибки, злоумышленники даже не удосужились их исправить, написав Malwerbyte и Malwerbyte.exe. Ответный пост компании Malwarebytes в Твиттере. 

Результаты анализов:
Гибридный анализ на версию Pokemon >>
VirusTotal анализ на версию Pokemon >>
VirusTotal анализ на версию Malwerbyte >>

 Степень распространённости: средняя и перспективно высокая. 
 Подробные сведения собираются.