пятница, 17 марта 2017 г.

CrptXXX

CrptXXX Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует перейти на сайт, чтобы узнать, как вернуть файлы. Название от используемого расширения. Написан на языке Delphi.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CrptXXX > BTCWare

К зашифрованным файлам добавляется расширение .crptxxx

Активность первого образца крипто-вымогателя пришлась на начало марта 2017 г., другой был обнаружен уже в середине марта. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt, HOW_TO_DECRYPT.txt - вариант от 8 марта
HOW_TO_FIX_!.txt - вариант от 16 марта

Содержание записки о выкупе от 16 марта:
Warning!
All your files have been encrypted with AES
If you want to restore them, use this instructions:
1) Download tor browser
2) Run tor and go to: xxxx://dokg5gcojuswihof.onion
Or you can use tor2web services
xxxx://dokg5gcojuswihof.onion.to
In login panel enter your personal ID: %id%
Follow next instructions on website
If server is down - try connect later
!! Decoders from other users are not compatible with your data, because each users unique encryption key !!
!! Do not try to decrypt your data using third party software, it may cause permanent data loss. !!

Перевод записки на русский язык:
Предупреждение!
Все ваши файлы были зашифрованы с AES
Если хотите вернуть их, используйте эти инструкции:
1) Загрузите Tor-браузер
2) Запустите tor и откройте: xxxx://dokg5gcojuswihof.onion
Или используйте службы tor2web
xxxx://dokg5gcojuswihof.onion.to
В панели входа введите свой личный ID: *****
Следуйте инструкциям на веб-сайте
Если сервер не работает, попробуйте позже.
!! Декодеры от других пользователей несовместимы с вашими данными, т.к. у каждого пользователя уникальный ключа шифрования!
!! Не пытайтесь расшифровать данные с помощью чужих программ, это  приведёт к потере данных. !!

Другой вариант записки:
Warning!!!
All your files are encrypted with AESalgorithm!
For decrypt use this instructions: 
Download tor browser
Run tor and go to: xxxx://vejtqvliimdv66dh.onion
Or you can use tor2web services
xxxx://vejtqvliimdv66dh.onion.to
in log panel enter your id (CRPTksrjghkrkwkrjthkewVM)
follow next instructions
if server is down, try connect later
locker version 3.0.0


*| Параметр id может быть различным на разных заражённых компьютерах.


Сайт вымогателей в сети Tor



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует метод @enigma0x3's UAC bypass для обхода UAC. 

 При запуске CrptXXX проверяет наличие работающего процесса VBoxService.exe, а в случае его обнаружения переходит в режим бесконечной паузы. 
При запуске с параметром командной строки -d расшифровывает ранее зашифрованные файлы. 
Проверяет наличие ключа системного реестра: HKCU\Software\mscloq

 Затем CrptXXX пытается установить соединение с управляющим onion-сервером в сети TOR. При успешной установке соединения выполняет шифрование. 

 В момент запуска CrptXXX проверяет, запущен ли он из файла mtrea.exe, и, если это не так, создает файл с таким именем в папке %APPDATA%. Если же условие соблюдается, проверяет наличие процесса с таким именем и при его обнаружении завершает работу.

 Регистрирует свой исполняемый файл в ветви системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

 Для шифрования файлов используется библиотека DCPCrypt и применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. 

Список файловых расширений, подвергающихся шифрованию:
.1c, .3fr, .accdb, .ai, .arw, .bac, .bay, .bmp, .cdr, .cer, .cfg, .config, .cr2, .crt, .crw, .css, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .gif, .htm, .html, .indd, .iso, .jpe, .jpeg, .jpg, .kdc, .lnk, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srw, .tif, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (94 расширения без дублей).  

Список расширений в другой версии (от 1 мая 2017):
.1c, .3fr,  .6cm, .8cm, .8svx, .a2b, .a2i, .a2m, .a2p, .a2t, .a52, .aa, .aa3, .aac, .aax, .abc, .abm, .ac3, .accdb, .acd, .acd-bak, .acd-zip, .acm, .acp, .act, .adg, .adts, .adv, .afc, .agm, .agr, .ahx, .ai, .aif, .aifc, .aiff, .aimppl, .ais, .akp, .al, .alac, .alaw, .all, .als, .amf, .amr, .ams, .amxd, .amz, .aob, .ape, .apf, .apl, .aria, .ariax, .arw, .ase, .at3, .atrac, .au, .aud, .aup, .avastsounds, .awb, .ay, .b4s, .bac, .band, .bap, .bay, .bcs, .bdd, .bidule, .bmml, .bmp, .bonk, .box, .brstm, .bun, .bwf, .bwg, .bww, .c01, .caf, .caff, .cda, .cdda, .cdlx, .cdo, .cdr, .cel, .cer, .cfa, .cfg,  .cgrp, .cidb,.cine, .cip, .ckb, .ckf, .clpi, .cmf, .cmmp, .cmmtpl, .config, .cr2, .crt, .crw, .css, .csv, .cvc, .cx3, .d2v, .d3v, .dash, .dat, .dav, .db, .dbf, .dce, .dck, .dcr, .ddat, .der, .dif, .dir, .divx, .dlx, .dmb, .dmsd, .dmsd3d, .dmsm, .dmsm3d, .dmss, .dmx, .dnc, .dng, .doc, .docm, .docx, .dpa, .dpg, .dream, .dv, .dv4, .dv-avi, .dvr, .dvr-ms, .dvx, .dwg, .dxf, .dxg, .dxr, .dzm, .dzp, .dzt, .edl, .eps, .erf, .evo, .eye, .f4f, .f4p, .f4v, .fbr, .fbz, .flc, .flh, .fli, .flv, .flx, .ftc, .gfp, .gif, .gl, .gom, .grasp, .gts, .gvi, .gvp, .h264, .hdmov, .hdv, .hkm, .htm, .html, .ifo, .imovieproject, .indd, .ircp, .irf, .ismc, .ismv, .iso, .iva, .ivf, .ivr, .ivs, .izz, .izzy, .jmv, .jpe, .jpeg, .jpg, .jss, .jts, .jtv, .k3g, .kdc, .kmv, .lnk, .lrec, .lrv, .lsf, .lsx, .lvix, .m15, .m1pg, .m1v, .m21, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .prx, .psd, .psh, .pssd, .pst, .ptx, .pva, .pvr, .pxv, .qt, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sbg, .sbi, .sbk, .sc2, .scs11, .sd, .sd2, .sd2f, .sdat, .sdii, .sds, .sdx, .seg, .ses, .sesx, .sf, .sf2, .sfap0, .sfk, .sfl, .sfpack, .sgp, .shn, .sib, .sid, .slx, .smf, .smp, .smpx, .snd, .sng, .sns, .snsf, .sou, .sph, .sppack, .spx, .sql, .sr2, .srf, .srw, .sseq, .ssnd, .stm, .stx, .sty, .svd, .svx, .sw, .swa, .swav, .sxt, .syh, .syn, .syw, .syx, .tak, .td0, .tfmx, .thx, .tif, .tm2, .tm8, .tmc, .toc, .trak, .tsp, .tta, .tun, .txw, .u, .u8, .ub, .ulaw, .ult, .ulw, .uni, .usf, .usflib, .ust, .uw, .uwf, .v2m, .vag, .val, .vap, .vc3, .vdj, .vgm, .vlc, .vmd, .vmf, .vmo, .voc, .voi, .vox, .voxal, .vpl, .vpm, .vpw, .vqf, .vrf, .vs, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (379 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
binz.exe
mtrea.exe

HOW_TO_DECRYPT.txt
README.txt
HOW_TO_FIX_!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://m5r2t7rwszffszra.onion
xxxx://m5r2t7rwszffszra.onion.to
xxxx://dokg5gcojuswihof.onion
xxxx://dokg5gcojuswihof.onion.to
xxxx://vejtqvliimdv66dh.onion
xxxx://vejtqvliimdv66dh.onion.to

См. также ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Есть возможность дешифровать файлы!
Обращайтесь по ссылке 
https://support.drweb.ru/new/free_unlocker/for_decode/
В базе Dr.Web это Trojan.Encoder.10465
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrptXXX)
 Write-up, Write-up
 * 
 Thanks: 
 MalwareHunterTeam, Karsten Hahn
 Michael Gillespie
 Dr.Web
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton