CrptXXX

CrptXXX Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует перейти на сайт, чтобы узнать, как вернуть файлы. Название от используемого расширения. Написан на языке Delphi.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CrptXXX > BTCWare

К зашифрованным файлам добавляется расширение .crptxxx

Активность первого образца крипто-вымогателя пришлась на начало марта 2017 г., другой был обнаружен уже в середине марта. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt, HOW_TO_DECRYPT.txt - вариант от 8 марта
HOW_TO_FIX_!.txt - вариант от 16 марта

Содержание записки о выкупе от 16 марта:
Warning!
All your files have been encrypted with AES
If you want to restore them, use this instructions:
1) Download tor browser
2) Run tor and go to: xxxx://dokg5gcojuswihof.onion
Or you can use tor2web services
xxxx://dokg5gcojuswihof.onion.to
In login panel enter your personal ID: %id%
Follow next instructions on website
If server is down - try connect later
!! Decoders from other users are not compatible with your data, because each users unique encryption key !!
!! Do not try to decrypt your data using third party software, it may cause permanent data loss. !!

Перевод записки на русский язык:
Предупреждение!
Все ваши файлы были зашифрованы с AES
Если хотите вернуть их, используйте эти инструкции:
1) Загрузите Tor-браузер
2) Запустите tor и откройте: xxxx://dokg5gcojuswihof.onion
Или используйте службы tor2web
xxxx://dokg5gcojuswihof.onion.to
В панели входа введите свой личный ID: *****
Следуйте инструкциям на веб-сайте
Если сервер не работает, попробуйте позже.
!! Декодеры от других пользователей несовместимы с вашими данными, т.к. у каждого пользователя уникальный ключа шифрования!
!! Не пытайтесь расшифровать данные с помощью чужих программ, это  приведёт к потере данных. !!

Другой вариант записки:
Warning!!!
All your files are encrypted with AESalgorithm!
For decrypt use this instructions: 
Download tor browser
Run tor and go to: xxxx://vejtqvliimdv66dh.onion
Or you can use tor2web services
xxxx://vejtqvliimdv66dh.onion.to
in log panel enter your id (CRPTksrjghkrkwkrjthkewVM)
follow next instructions
if server is down, try connect later
locker version 3.0.0


*| Параметр id может быть различным на разных заражённых компьютерах.

Сайт вымогателей в сети Tor

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует метод @enigma0x3's UAC bypass для обхода UAC. 

➤ При запуске CrptXXX проверяет наличие работающего процесса VBoxService.exe, а в случае его обнаружения переходит в режим бесконечной паузы. 
При запуске с параметром командной строки -d расшифровывает ранее зашифрованные файлы. 
Проверяет наличие ключа системного реестра: HKCU\Software\mscloq

➤ Затем CrptXXX пытается установить соединение с управляющим onion-сервером в сети TOR. При успешной установке соединения выполняет шифрование. 

➤ В момент запуска CrptXXX проверяет, запущен ли он из файла mtrea.exe, и, если это не так, создает файл с таким именем в папке %APPDATA%. Если же условие соблюдается, проверяет наличие процесса с таким именем и при его обнаружении завершает работу.

➤ Регистрирует свой исполняемый файл в ветви системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

➤ Для шифрования файлов используется библиотека DCPCrypt и применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. 

Список файловых расширений, подвергающихся шифрованию:

.1c, .3fr, .accdb, .ai, .arw, .bac, .bay, .bmp, .cdr, .cer, .cfg, .config, .cr2, .crt, .crw, .css, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .gif, .htm, .html, .indd, .iso, .jpe, .jpeg, .jpg, .kdc, .lnk, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srw, .tif, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (94 расширения без дублей).  

Список расширений в другой версии (от 1 мая 2017):

.1c, .3fr,  .6cm, .8cm, .8svx, .a2b, .a2i, .a2m, .a2p, .a2t, .a52, .aa, .aa3, .aac, .aax, .abc, .abm, .ac3, .accdb, .acd, .acd-bak, .acd-zip, .acm, .acp, .act, .adg, .adts, .adv, .afc, .agm, .agr, .ahx, .ai, .aif, .aifc, .aiff, .aimppl, .ais, .akp, .al, .alac, .alaw, .all, .als, .amf, .amr, .ams, .amxd, .amz, .aob, .ape, .apf, .apl, .aria, .ariax, .arw, .ase, .at3, .atrac, .au, .aud, .aup, .avastsounds, .awb, .ay, .b4s, .bac, .band, .bap, .bay, .bcs, .bdd, .bidule, .bmml, .bmp, .bonk, .box, .brstm, .bun, .bwf, .bwg, .bww, .c01, .caf, .caff, .cda, .cdda, .cdlx, .cdo, .cdr, .cel, .cer, .cfa, .cfg,  .cgrp, .cidb,.cine, .cip, .ckb, .ckf, .clpi, .cmf, .cmmp, .cmmtpl, .config, .cr2, .crt, .crw, .css, .csv, .cvc, .cx3, .d2v, .d3v, .dash, .dat, .dav, .db, .dbf, .dce, .dck, .dcr, .ddat, .der, .dif, .dir, .divx, .dlx, .dmb, .dmsd, .dmsd3d, .dmsm, .dmsm3d, .dmss, .dmx, .dnc, .dng, .doc, .docm, .docx, .dpa, .dpg, .dream, .dv, .dv4, .dv-avi, .dvr, .dvr-ms, .dvx, .dwg, .dxf, .dxg, .dxr, .dzm, .dzp, .dzt, .edl, .eps, .erf, .evo, .eye, .f4f, .f4p, .f4v, .fbr, .fbz, .flc, .flh, .fli, .flv, .flx, .ftc, .gfp, .gif, .gl, .gom, .grasp, .gts, .gvi, .gvp, .h264, .hdmov, .hdv, .hkm, .htm, .html, .ifo, .imovieproject, .indd, .ircp, .irf, .ismc, .ismv, .iso, .iva, .ivf, .ivr, .ivs, .izz, .izzy, .jmv, .jpe, .jpeg, .jpg, .jss, .jts, .jtv, .k3g, .kdc, .kmv, .lnk, .lrec, .lrv, .lsf, .lsx, .lvix, .m15, .m1pg, .m1v, .m21, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .prx, .psd, .psh, .pssd, .pst, .ptx, .pva, .pvr, .pxv, .qt, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sbg, .sbi, .sbk, .sc2, .scs11, .sd, .sd2, .sd2f, .sdat, .sdii, .sds, .sdx, .seg, .ses, .sesx, .sf, .sf2, .sfap0, .sfk, .sfl, .sfpack, .sgp, .shn, .sib, .sid, .slx, .smf, .smp, .smpx, .snd, .sng, .sns, .snsf, .sou, .sph, .sppack, .spx, .sql, .sr2, .srf, .srw, .sseq, .ssnd, .stm, .stx, .sty, .svd, .svx, .sw, .swa, .swav, .sxt, .syh, .syn, .syw, .syx, .tak, .td0, .tfmx, .thx, .tif, .tm2, .tm8, .tmc, .toc, .trak, .tsp, .tta, .tun, .txw, .u, .u8, .ub, .ulaw, .ult, .ulw, .uni, .usf, .usflib, .ust, .uw, .uwf, .v2m, .vag, .val, .vap, .vc3, .vdj, .vgm, .vlc, .vmd, .vmf, .vmo, .voc, .voi, .vox, .voxal, .vpl, .vpm, .vpw, .vqf, .vrf, .vs, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (379 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
binz.exe
mtrea.exe

HOW_TO_DECRYPT.txt
README.txt
HOW_TO_FIX_!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://m5r2t7rwszffszra.onion
xxxx://m5r2t7rwszffszra.onion.to
xxxx://dokg5gcojuswihof.onion
xxxx://dokg5gcojuswihof.onion.to
xxxx://vejtqvliimdv66dh.onion
xxxx://vejtqvliimdv66dh.onion.to
См. также ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Есть возможность дешифровать файлы!
Обращайтесь по ссылке 
https://support.drweb.ru/new/free_unlocker/for_decode/
В базе Dr.Web это Trojan.Encoder.10465

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrptXXX)
 Write-up, Write-up
 * 

 Thanks: 
 MalwareHunterTeam, Karsten Hahn
 Michael Gillespie
 Dr.Web
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.