Cry128, X3M Next

Cry128 Ransomware

X3M Ransomware: Next Variation

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от ~0.15 BTC и больше, чтобы вернуть файлы. Оригинальное название: X3M или x3m Family.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M > CryptON > X3M Next (Cry128) > Cry36

Этимология названия:
Cry128 основан на модифицированной версии AES, которая работает на 128 байтовых блоках и с 1024-битными ключами в режиме ECB. Отсюда название, данное ему исследователем из компании Emsisosft Фабианом Восаром.  

К зашифрованным файлам добавляется составные расширение по шаблону: 
.id_<ID_0-9{10}>_[URL_onion]._
.id_<ID_0-9{10}>_[URL_onion].63vc4

Примеры подобных расширений: 
.id_<ID_0-9{10}>_gebdp3k7bolalnd4.onion._
.id_<ID_0-9{10}>_kgjzsyyfgdm4zavx.onion._
.id-<ID_0-9{10}>_[qg6m5wo7h3id55ym.onion.to].63vc4
и другие, регулярно изменяемые для затруднения идентификации. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: DECRYPT MY FILE.txt
Содержание записок отличается адресами onion-сайтов в сети Tor и подстрочным текстом. Привожу их две, чтобы было нагляднее. 

Содержание записки о выкупе:
1-я
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://gebdp3k7bolalnd4.onion.to (not need Tor)
xxxxs://gebdp3k7bolalnd4.onion.cab (not need Tor)
xxxxs://gebdp3k7bolalnd4.onion.nu (not need Tor)
You ID: ***
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://gebdp3k7bolalnd4.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial https://www.youtube.com/watch?v=gOgh3ABju6Q

2-я
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://kgjzsyyfgdm4zavx.onion.to (not need Tor)
xxxxs://kgjzsyyfgdm4zavx.onion.cab (not need Tor)
xxxxs://kgjzsyyfgdm4zavx.onion.nu (not need Tor)
You ID: ***
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://kgjzsyyfgdm4zavx.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
// If you have any problems installing or using, please visit the video tutorial https://www.youtube.com/watch?v=gOgh3ABju6Q

Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ***
Чтобы расшифровать ваши файлы, вам нужно купить специальный софт. Для восстановления данных следуйте инструкциям!
Вы можете узнать подробности / задать вопросы в чате:
xxxxs://gebdp3k7bolalnd4.onion.to (не нужен Tor)
xxxxs://gebdp3k7bolalnd4.onion.cab (не нужен Tor)
xxxxs://gebdp3k7bolalnd4.onion.nu (не нужен Tor)
Ваш ID: ***
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес https://www.torproject.org/download/download-easy.html в адресную строку своего браузера и нажмите клавишу ENTER
3. На сайте будет предложено скачать Tor-браузер, загрузите и установите его. Запустите.
4. Соединитесь с кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера.
6. Введите или скопируйте адрес xxxx://gebdp3k7bolalnd4.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится
Если у вас возникли проблемы с установкой или использованием, посмотрите видеоуроки https://www.youtube.com/watch?v=gOgh3ABju6Q.

Страница на onion-сайтах в сети Tor

При вводе ID на разных Tor-сайтах представляются одни и те же требования о выкупе. Вывод: без сомнения, это одна команда вымогателей. 

Содержание текста на странице
To get the program to decrypt files You need to pay: 0.15504 BTC (~200$)
How to pay?
@ bitcoin
1. You should click Here to find out how to sign up for a Bitcoin wallet.
2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin:
• coincafe.com - Recommended for fast, simple service.
Payment methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - The best place for Europe
• other - Or any other convenient for you service
3. Send 0.15504 BTC to Bitcoin address: 18MR9nuqhTPYmqSHUzcZdJ43hvKvmUZE92
4. Ensure your payment information and then Click 'Check Payment'
button [Check Payment]

Перевод текста на русский язык:
Чтобы получить программу для расшифровки файлов, вам нужно заплатить: 0.15504 BTC (~200 $)
Как заплатить?
@ Биткоин
1. Вы должны нажать здесь, чтобы узнать, как зарегистрировать Биткоин-кошелек.
2. Покупка биткоинов становится проще каждый день, см. Ниже способы приобретения биткоинов:
• coincafe.com - рекомендуется для быстрого и простого обслуживания.
Методы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - лучшее место для Европы
• другие - или любые другие удобные для вас услуги
3. Отправьте 0.15504 BTC на Биткоин-адрес: 18MR9nuqhTPYmqSHUzcZdJ43hvKvmUZE92
4. Проверьте свою платежную информацию и нажмите 'Check Payment'
кнопка [Проверить оплату]

В отличие от предыдущих версий этого семейства вымогателей, Cry128 использует платежный портал в TOR-сети и tor2web-сайты, чтобы сделать его более доступным для среднего пользователя.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы):
Windows, Program Files и %UserProfile%

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., что составляют наибольшую ценность для любого пользователя. 

Зашифрованные файлы могут иметь размер на 16 байт больше, чем исходный файл. В других модификациях различие может быть на 32 байта и больше. 

Файлы, связанные с этим Ransomware:
DECRYPT MY FILE.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://gebdp3k7bolalnd4.onion.to
xxxxs://gebdp3k7bolalnd4.onion.cab
xxxxs://gebdp3k7bolalnd4.onion.nu
xxxx://gebdp3k7bolalnd4.onion
xxxxs://kgjzsyyfgdm4zavx.onion.to
xxxxs://kgjzsyyfgdm4zavx.onion.cab
xxxxs://kgjzsyyfgdm4zavx.onion.nu
xxxx://kgjzsyyfgdm4zavx.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновления от 30 апреля 2017:
Расширения: .fgb45ft3pqamyji7.onion.to._
.id_<id>_2irbar3mjvbap6gt.onion.to._
.id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4
URL: 2irbar3mjvbap6gt.onion.to
qg6m5wo7h3id55ym.onion.to


Другой вариант записки (без указания даты):
### DECRYPT MY FILES ###.html

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Cry128 Decrypter для дешифровки >>

 Read to links: 
 Topic on BC, Topic on BC
 ID Ransomware (ID as Cry128)
 Write-up (added May 1, 2017)
 * 

 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.