понедельник, 6 марта 2017 г.

CryptoJacky

CryptoJacky Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 250 Евро в биткоинах, чтобы вернуть файлы. Оригинальное название: CryptoJacky v2.0. Позже добавлена версия 3.0. Разработчик: paulej. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Шифрует только файлы с расширением .xxx, добавляя затем к ним расширение .aes

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
ransom-instructions.lnk - записка о выкупе (1);
ransom-information.lnk - записка о выкупе (2);
ransom-payment.url - ссылка на сайт оплаты. 
CryptoJackyCryptoJacky Ransomware
Скриншоты 2-й и 3-й версий (скриншот 3-й версии справа)

Содержание записок о выкупе:
(1) rescate de archivos-instrucciones
Para comprar la contraseña haga click en el ícono "ransom-payment". Una vez abierto el link seleccione arriba del cuadro "list" y luego en la columna de la izquierda la opción con la que va a pagar, en la derecha seleccione bitcoins. Cliquee "Find the best rate". Vaya a alguno de los sitios que aparecerán a la derecha y compre EUR 250 de bitcoins a la siguiente dirección (con click dere- cho y luego pegar será ingresada donde quiera): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
Una vez hecho el pago hágamelo saber enviandome un correo a la siguiente dirección: ransom_ph@mail2noble.com
Siendo así, le será enviada la contraseña.
Haga click en "ransom of files" e ingrésela.-

(2) rescate de archivos-informacíon
Ransom_ph! ha detectado actividad inmoral en sus hábitos online y/o en su equi- po, siendo así me he visto en la obligación de retener sus archivos personales. Si usted desea comprar la contraseña para recuperar el control de los mismos, sirva- se seguir las intrucciones cliqueando en el archivo "ransom-instructions" que se- rá creado en el escritorio para tal fin. Nota: son tres íconos los que se crearán, si alguno no apareciera, por favor haga click con el botón derecho del mousey seguidamente en actualizar.

Перевод записки на русский язык:
(1) спасение файлов - инструкции
Чтобы купить пароль, нажмите на значок "ransom-payment". После открытия окна выше выберите ссылку "list", а затем в левой колонке вариант, которым будете платить, справа выберите Bitcoins. Нажмите кнопку "Find the best rate". Перейдите на любой из сайтов, которые появятся справа и купить EUR 250 Bitcoins по следующему адресу (скопируйте правой кнопкой мыши, а затем вставьте туда): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
После оплаты, дайте мне знать, отправив мне письмо на следующему email-адрес: ransom_ph@mail2noble.com
В таком случае, вам будет выслан пароль.
Нажмите на "ransom of files" и введите его. -

(2) спасение файлов - информация
Ransom_ph! была обнаружена аморальным активность в ваших онлайн-привычках и / или на вашем компьютере, потому я был вынужден заблокировать ваши личные файлы. Если вы хотите купить пароль, чтобы восстановить контроль над ними, пожалуйста, следуйте инструкциям, нажав на значок "ransom-instructions", который будет создан для этой цели на рабочем столе. Примечание: Будут созданы три значка, если они не появились, пожалуйста, нажмите правую кнопку мышки, затем выберите "Обновить".

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для шифрования использует утилиту aescrypt.exe. 

Список файловых расширений, подвергающихся шифрованию:
в версии 2.0 только файлы .xxx
в версии 3.0  файлы: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения). 

Файлы, связанные с этим Ransomware:
cryptoJacky-setup.exe
cryptojacky.exe
aescrypt.exe
run.exe
ransom-information.lnk
ransom-instructions.lnk
ransom-payment.url
ransomware-c.exe
ransomware-d.cmd
<random>.exe
<random>.vbs
<random>.tmp
<random>.bat
<random>.scr
и другие. см. ниже. 

Расположения: 
\Desktop\ransom-payment.url
%APPDATA%\r_tool\
%APPDATA%\r_tool\aescrypt.exe
%APPDATA%\r_tool\cts-input.vbs
%APPDATA%\r_tool\cts-input_error.vbs
%APPDATA%\r_tool\file_extensions.txt
%APPDATA%\r_tool\ransom-information.vbs
%APPDATA%\r_tool\ransom-instructions.vbs 
%APPDATA%\r_tool\ransom-thanks.vbs
%APPDATA%\r_tool\ransomware-c.exe
%APPDATA%\r_tool\ransomware-d.cmd
%APPDATA%\r_tool\Uninstall.exe
%APPDATA%\r_tool\fake-message.vbs
%APPDATA%\r_tool\rescue-of-files.exe
%APPDATA%\r_tool\rescue-thanks.vbs
%APPDATA%\r_tool\run.exe
%APPDATA%\r_tool\ms-windows_update.exe
%APPDATA%\r_tool\file_extensions.txt
и другие (см. гибридный анализ). 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.bestchange.com
ransom_ph@mail2noble.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ версия 2.0 >>
VirusTotal анализ версия 3.0 >>
Malwr анализ >>

Обновление от 29 марта 2017:
Версия: 3.0. Распространяется под видом фальшивых инсталляторов. 
Файлы: Windows_10_Firewall_Control.exe, HHD_Software_Hex_Editor_Neo_Ultimate_Edition_6.22.00.exe и пр. 
Скриншот: (см. выше, рядом со скриншотами предыдущей версии). 
Фальш-копирайт: Microsoft Corporation
Список файловых расширений: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения). 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJacky)
 Write-up, Topic
 *
 Thanks: 
 Jiri Kropac
 Michael Gillespie
 0x4574N4
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.

3 комментария:

  1. Попросил @jiriatvirlab отправить сэмпл на
    https://malwr.com/analysis/MjA3NmI4MzA3OTE2NDEyOGI1MjFhNzNkM2E4N2QwN2Y/
    https://www.hybrid-analysis.com/sample/eb1d67380ec375c79fd7533c90dc5f686165401174515abd8018d0220bf781b9?environmentId=100

    Похоже, этот вредонос еще находится в разработке, поскольку шифрует файлы с расширением ".xxx", добавляя ".aes".

    ОтветитьУдалить
    Ответы
    1. Сегодня добавил данные 3-й версии. Уже шифрует гораздо больше файлов.

      Удалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton