Crypton Ransomware
(шифровальщик-вымогатель)
Этимология названия
1. Crypton — алгоритм симметричного блочного шифрования (размер блока 128 бит, ключ длиной до 256 бит), разработанный в 1998 году. Конструкция алгоритма опирается на алгоритм SQUARE. При шифровании используются ключи шифрования нескольких фиксированных размеров — от 0 до 256 бит с кратностью 8 битов.
2. В комиксах, фильмах и мультипликации Криптон (Krypton) — родная планета Супермена.
© Генеалогия: Crypton > X3M, Nemesis
К зашифрованным файлам добавляется расширение _crypt
Так файл image.png станет файлом image_crypt.png
Анализ показал, что сначала в проекте было расширение .crypt, но потом его заменили на _crypt.
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа написана на русском и английском языках.
В каждой папке размещается текстовый файл readme_encrypted.txt, в котором всего одна строка текста на английском и русском, и ID.
Другим информатором выступает блокировщик экрана, который появляется на русском или английском языке.
Содержание текста о выкупе на русском:
Внимание!
Ваши данные зашифрованы!
Для расшифровки ваших данных, вам необходимо оплатить указанную ниже сумму.
Обратите внимание, что подтверждение платежа может занять какое то время (от 1 часа до 1 дня).
Все это время программа должна быть запущена, и иметь соединение с интернет.
После успешного подтверждения платежа - расшифровка запустится автоматически.
Подробнее о том как произвести оплату с помощью Bitcoin можно найти в сети internet.
Наример можно воспользоваться сервисом хттпs://xchange.cc/visa-mastercard-rur-to-bitcoin.html ...
Крайне не рекомендуется пытаться самостоятельно восстановить данные, или удалять эту программу! Это может привести к полной потере ваших данных навсегда! Для восстановления данных необходимо подключение к интернет.
Текущий статус:
Bitcoin адрес: ***
Сумма к оплате: *** BTC по курсу в валюте
Проверить статус платежа
Содержание текста о выкупе на английском:
Attention!
All data on you PC is encrypted!
To decrypt your data, you need to pay the amounts shown below.
Please note that the payment confirmation may take some time (from 1 hour to 1 day).
All this time, the program must be running and have an internet connection.
After the successful confirmation of payment - decoding will start automatically.
Read more about how to make a payment using Bitcoin can be found on the internet network.
In destination address - specify the Bitcoin address, listed below.
Keep in mind that the services may charge a fee for the payment, it is important that we must ...
It is not recommended to attempt to recover the data, or remove this program! This can lead to a complete loss of your data forever! To restore data, you must be connected to the Internet.
Status:
Bitcoin address: ***
Payment amount: ***
check payment status
Технические детали
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
На ПК попадает файл-дроппер (см. ниже результаты анализа).
Запустившись в первый раз шифровальщик создает копию себя в директории %AppData%\crypton.exe
На рабочем столе создаются следующие файлы:
%Desktop%\[RUSSIAN CHARACTERS].rtf
%Desktop%\Tatiana_Photo2016\Print_01.jpg
%Desktop%\Tatiana_Photo2016\Print_02.jpg
%Desktop%\Tatiana_Photo2016\Print_03.jpg
%Desktop%\Tatiana_Photo2016\Print_04.jpg
%Desktop%\photo_tatiana2016.jpg
Список файловых расширений, подвергающихся шифрованию:
.7z, .cd, .cdr, .dat, .db, .dbf, .dbx, .doc, .docx, .htm, .html, .jpg, .mdb, .mht, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .rtf, .tbb, .tbn, .tiff, .txt, .vsd, .xls, .xlsx, .xml, .zip (31 расширение).
Файлы, связанные с Crypton Ransomware:
[Encrypted_folder_name]\readme_encrypted.txt
%AppData%\crypton.exe
Crypton.exe - исполняемый файл вымогателя
Dloader_exe.exe - дроппер
Записи реестра, связанные с Crypton Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"crypton" = "%AppData%\Crypton.exe" - запись для автозагрузки
HKEY_CURRENT_USER\Software\Crypton\"mail" = "<Malware_file_name>.exe"
HKEY_CURRENT_USER\Software\Crypton\"lang" = "ru"
См. ниже гибридный анализ
Сетевые подключения и связи:
хттп://in.uniclever.net/ (109.201.142.56:80 Нидерданды)
хттп://in.uniclever.net/init
srv1.uniclever.net
srv2.uniclever.net
xchange.cc/visa-mastercard-rur-to-bitcoin.html
Примечательно, что по адресу in.uniclever.net грузится изображение Оскара Уальда.
Результаты анализов:
Гибридный анализ >>
Гибридный анализ на дроппер >>
VirusTotal анализ >>
VirusTotal анализ на дроппер >>
Symantec: Ransom.Crypton >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter ID Ransomware (ID as Crypton) Write-up, Support Topic *
Thanks: MalwareHunterTeam, Michael Gillespie Andrew Ivanov (author) * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.