четверг, 27 апреля 2017 г.

Cry128, X3M Next

Cry128 Ransomware

X3M Ransomware: Next Variation

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от ~0.15 BTC и больше, чтобы вернуть файлы. Оригинальное название: X3M или x3m Family.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M > CryON > X3M Next (Cry128) > Cry36

Этимология названия:
Cry128 основан на модифицированной версии AES, которая работает на 128 байтовых блоках и с 1024-битными ключами в режиме ECB. Отсюда название, данное ему исследователем из компании Emsisosft Фабианом Восаром.  

К зашифрованным файлам добавляется составные расширение по шаблону: 
.id_<ID_0-9{10}>_[URL_onion]._
.id_<ID_0-9{10}>_[URL_onion].63vc4

Примеры подобных расширений: 
.id_<ID_0-9{10}>_gebdp3k7bolalnd4.onion._
.id_<ID_0-9{10}>_kgjzsyyfgdm4zavx.onion._
.id-<ID_0-9{10}>_[qg6m5wo7h3id55ym.onion.to].63vc4
и другие, регулярно изменяемые для затруднения идентификации. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: DECRYPT MY FILE.txt
Содержание записок отличается адресами onion-сайтов в сети Tor и подстрочным текстом. Привожу их две, чтобы было нагляднее. 



Содержание записки о выкупе:
1-я
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://gebdp3k7bolalnd4.onion.to (not need Tor)
xxxxs://gebdp3k7bolalnd4.onion.cab (not need Tor)
xxxxs://gebdp3k7bolalnd4.onion.nu (not need Tor)
You ID: ***
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://gebdp3k7bolalnd4.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial https://www.youtube.com/watch?v=gOgh3ABju6Q

2-я
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://kgjzsyyfgdm4zavx.onion.to (not need Tor)
xxxxs://kgjzsyyfgdm4zavx.onion.cab (not need Tor)
xxxxs://kgjzsyyfgdm4zavx.onion.nu (not need Tor)
You ID: ***
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://kgjzsyyfgdm4zavx.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
// If you have any problems installing or using, please visit the video tutorial https://www.youtube.com/watch?v=gOgh3ABju6Q

Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ***
Чтобы расшифровать ваши файлы, вам нужно купить специальный софт. Для восстановления данных следуйте инструкциям!
Вы можете узнать подробности / задать вопросы в чате:
xxxxs://gebdp3k7bolalnd4.onion.to (не нужен Tor)
xxxxs://gebdp3k7bolalnd4.onion.cab (не нужен Tor)
xxxxs://gebdp3k7bolalnd4.onion.nu (не нужен Tor)
Ваш ID: ***
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес https://www.torproject.org/download/download-easy.html в адресную строку своего браузера и нажмите клавишу ENTER
3. На сайте будет предложено скачать Tor-браузер, загрузите и установите его. Запустите.
4. Соединитесь с кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера.
6. Введите или скопируйте адрес xxxx://gebdp3k7bolalnd4.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится
Если у вас возникли проблемы с установкой или использованием, посмотрите видеоуроки https://www.youtube.com/watch?v=gOgh3ABju6Q.


Страница на onion-сайтах в сети Tor

При вводе ID на разных Tor-сайтах представляются одни и те же требования о выкупе. Вывод: без сомнения, это одна команда вымогателей. 

Содержание текста на странице
To get the program to decrypt files You need to pay: 0.15504 BTC (~200$)
How to pay?
@ bitcoin
1. You should click Here to find out how to sign up for a Bitcoin wallet.
2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin:
• coincafe.com - Recommended for fast, simple service.
Payment methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - The best place for Europe
• other - Or any other convenient for you service
3. Send 0.15504 BTC to Bitcoin address: 18MR9nuqhTPYmqSHUzcZdJ43hvKvmUZE92
4. Ensure your payment information and then Click 'Check Payment'
button [Check Payment]

Перевод текста на русский язык:
Чтобы получить программу для расшифровки файлов, вам нужно заплатить: 0.15504 BTC (~200 $)
Как заплатить?
@ Биткоин
1. Вы должны нажать здесь, чтобы узнать, как зарегистрировать Биткоин-кошелек.
2. Покупка биткоинов становится проще каждый день, см. Ниже способы приобретения биткоинов:
• coincafe.com - рекомендуется для быстрого и простого обслуживания.
Методы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - лучшее место для Европы
• другие - или любые другие удобные для вас услуги
3. Отправьте 0.15504 BTC на Биткоин-адрес: 18MR9nuqhTPYmqSHUzcZdJ43hvKvmUZE92
4. Проверьте свою платежную информацию и нажмите 'Check Payment'
кнопка [Проверить оплату]

В отличие от предыдущих версий этого семейства вымогателей, Cry128 использует платежный портал в TOR-сети и tor2web-сайты, чтобы сделать его более доступным для среднего пользователя.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы):
Windows, Program Files и %UserProfile%

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., что составляют наибольшую ценность для любого пользователя. 

Зашифрованные файлы могут иметь размер на 16 байт больше, чем исходный файл. В других модификациях различие может быть на 32 байта и больше. 

Файлы, связанные с этим Ransomware:
DECRYPT MY FILE.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://gebdp3k7bolalnd4.onion.to
xxxxs://gebdp3k7bolalnd4.onion.cab
xxxxs://gebdp3k7bolalnd4.onion.nu
xxxx://gebdp3k7bolalnd4.onion
xxxxs://kgjzsyyfgdm4zavx.onion.to
xxxxs://kgjzsyyfgdm4zavx.onion.cab
xxxxs://kgjzsyyfgdm4zavx.onion.nu
xxxx://kgjzsyyfgdm4zavx.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновления от 30 апреля 2017:
Расширения: .fgb45ft3pqamyji7.onion.to._
.id_<id>_2irbar3mjvbap6gt.onion.to._
.id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4
URL: 2irbar3mjvbap6gt.onion.to
qg6m5wo7h3id55ym.onion.to


Внимание!
Для зашифрованных файлов есть декриптер
Скачать Cry128 Decrypter для дешифровки >>
 Read to links: 
 Topic on BC, Topic on BC
 ID Ransomware (ID as Cry128)
 Write-up (added May 1, 2017)
 * 
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton