CruelCrypt

CruelCrypt Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: fun.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.31526
BitDefender -> Trojan.GenericKD.33656853
ESET-NOD32 ->  BAT/Filecoder.DG
Rising -> Ransom.CruelSister!1.C4EE (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Encoder.Ahex
TrendMicro -> Ransom_CruelSister.R002C0DDD20
---

© Генеалогия: CXK-NMSL >> CruelCrypt > EncodeBat

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения:
.Cruel
.Sister

На самом деле они выглядят следующим образом:

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в первой половине апреля 2020 г. Штамп даты: 30 июля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа не было обнаружено. 

Технические детали

Вероятно распространяется среди фанатов какой-то игры, чтобы напугать или нейтрализовать противников. Это только предположение. 

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует функцию WriteProcessMemory и встроенную в Windows программу командной строки CertUtil. 
"C:\Windows\sysnative\cmd.exe" /c "C:\Users\Admin\AppData\Local\Temp\9339.tmp\933A.tmp\933B.bat C:\Users\Admin\AppData\Local\Temp\fun.exe"

Таким образом, загрузка на компьютер вредоносного кода из Интернета иногда осуществляется с помощью средства командной строки Windows CertUtil. 

Из документации Microsoft:
1) Функция WriteProcessMemory записывает данные в виртуальную память другого процесса. Для записи должна быть доступна вся область, иначе операция завершится неудачно. Ссылка >>

2) Certutil.exe — это программа командной строки, устанавливаемая в составе служб сертификатов. Программу Certutil.exe можно использовать для дампа и просмотра сведений о конфигурации центра сертификации (ЦС), настройки служб сертификатов, резервного копирования и восстановления компонентов ЦС, а также для проверки сертификатов, пар ключей и цепочек сертификатов. Если программа certutil запущена в центре сертификации без дополнительных параметров, отобразится текущая конфигурация центра сертификации. Если программа certutil запущена в некотором центре сертификации, команда по умолчанию выполняет certutil [-dump] команду. Ссылка >>

➤ Используется утилита CertUtil, в которой есть команда для шифрования файлов. Ключ не требуется, вероятно файлы можно будет расшифровать обратной командой. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CUsersHARLAN4096Desktop11-04-2020#CS fun - MWTfun.exe (fun.exe) - исполняемый файл со странным названием; 
<ransom_note>.txt - название вероятного файла с требованием выкупа; 
<random>.exe - случайное название вредоносного файла.
fun.bat
7a43.tmp
7a44.tmp
7a45.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\7a43.tmp\7a44.tmp\7a45.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tw
 ID Ransomware (ID as CXK-NMSL)
 Write-up, Write-up, Topic of Support
 * 

Внимание! 
Если для шифрования используется утилита CertUtil, то файлы 
можно расшифровать обратной командой.

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.