CryT0Y Ransomware
Cryt0y Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34091, Trojan.Encoder.34522
Обнаружения:
DrWeb -> Trojan.Encoder.34091, Trojan.Encoder.34522
BitDefender -> Trojan.GenericKD.37156886
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJP
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.73223453, Ransom.cryt0y
Microsoft -> Trojan:Win32/Wacatac.B!ml, Program:Win32/Multiverze
Rising -> Trojan.Generic/MSIL@AI.92 (RDM.MSIL*,
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Hmhe, Msil.Trojan.Agent.Pepw, Malware.Win32.Gencirc.11c468e4
TrendMicro -> TROJ_GEN.R002H07FS21, Ransom.MSIL.CRYTOY.YXBLV
---
© Генеалогия: ??? >> Cryt0y
К зашифрованным файлам добавляется расширение: .cryt0y
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJP
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.73223453, Ransom.cryt0y
Microsoft -> Trojan:Win32/Wacatac.B!ml, Program:Win32/Multiverze
Rising -> Trojan.Generic/MSIL@AI.92 (RDM.MSIL*,
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Hmhe, Msil.Trojan.Agent.Pepw, Malware.Win32.Gencirc.11c468e4
TrendMicro -> TROJ_GEN.R002H07FS21, Ransom.MSIL.CRYTOY.YXBLV
---
© Генеалогия: ??? >> Cryt0y
Этимология названия:
В названии CryToy используются два разных значения. "CryToy" понятно тем, кто говорит по-английски. Но если вы прочитаете это по-русски, то будет совсем другое значение — получится слово "крутой". Я выбрал это изображение в качестве логотипа статьи, потому что оно соответствует обоим этим заголовкам одновременно.
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Образцы этого крипто-вымогателя были обнаружены в первой и во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно, пока находится разработке.
На файле может быть написано Adobe Photoshop CC 2019, вероятно, он распространяется под таким именем на сайтах пиратского и взломанного ПО.
Записка с требованием выкупа называется: READ_IT.txt, но может использоваться быть и другой, похожий файл.
Содержание записки о выкупе:
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm.
Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our Public key
2 - You can decrypt, the encrypted files with specific Private key and your private key is in our hands ( It's not possible to recover your files without our private key )
Yes, We have a decrypter with the private key. We have one option to get all your data back.
Follow the instructions to get all your data back:
Step 1 : You must send us 80$ worth of Bitcoin for your affected system
Step 2 : After you sent us the bitcoin our system automatically decrypt all you files and our software will delete itself.
Our bitcoin address: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj
Перевод записки на русский язык:
Все ваши файлы зашифрованы с RSA-4096, Читайте на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных.
RSA - это асимметричный криптографический алгоритм.
Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть отдан любому:
1 - Мы зашифровали ваши файлы нашим открытым ключом
2 - Вы можете расшифровать зашифрованные файлы специальным Закрытым ключом, а ваш закрытый ключ в наших руках (невозможно вурнуть ваши файлы без нашего закрытого ключа)
Да, у нас есть дешифратор с закрытым ключом. У нас есть одна возможность вернуть все ваши данные.
Следуйте инструкциям, чтобы вернуть все свои данные:
Шаг 1. Вы должны отправить нам 80$ в биткойнах за вашу уязвимую систему.
Шаг 2: Как только вы отправите нам биткойны, наша система автоматически расшифрует все ваши файлы, а наша программа самоудалится.
Наш биткойн-адрес: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj
Другим информатором жертвы является hta-файл. Название файла не установлено. Текст может немного отличаться в разных вариантах. На скриншоте ниже BTC-адрес указан в нижнем блоке записки, и сам адрес другой. Является ли он уникальным для каждой жертвы, не установлено, т.к. были рассмотрены только два разных файла.
Содержание одного из вариантов записки:
What happened to your files?
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our Public key
2 - You can decrypt, the encrypted files with specific Private key and your private key is in our hands ( It's not possible to recover your files without our private key )
Is it possible to get back your data?
Yes, We have a decrypter with the private key. We have one option to get all your data back.
"Follow the instructions to get all your data back:
Step 1 : You must send us 80$ worth of Bitcoin for your affected system
Step 2 : After you sent us the bitcoin our system automatically decrypt all you files and our software will delete itself
Our Bitcoin address is: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj
Where to buy Bitcoin?
The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online
MMoga.com Bitcoin gift cards is a fast way to buy bitcoins.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Пытается изменить настройки безопасности Windows, отключает защиту в реальном времени у Windows Defender. Использует подписанные сертификаты от Microsoft.
➤ Схема запуска:
Список типов файлов, подвергающихся шифрованию:
Полный список целевых типов файлов неизвестен, но шифрует не все файлы. Среди увиденных во время тестирования были следующие расширения:
Полный список целевых типов файлов неизвестен, но шифрует не все файлы. Среди увиденных во время тестирования были следующие расширения:
.crw, .csv, .docm, .docx, .dotx, .odt, .html, .png, .pps, .raw, .xls, .xlsm, .xlsx, .wps.
Можно отметить, что это документы MS Office (не все типы), Microsoft Works, OpenOffice, веб-страницы, фотографии и файлы других типов изображений. Полный список шифруемых типов файлов не был получен.
Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа;
Bypasds.exe - название вредоносного файла;
Photoshop.exe - название вредоносного файла;
estxrbbr.exe - название вредоносного файла;
qljjmbot.inf - используемый файл;
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: в контактах не используется.
BTC: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
IOC-1: VT, HA, IA, TG, AR, VMR, JSB
Результаты анализов:
IOC-1: VT, HA, IA, TG, AR, VMR, JSB
MD5: 48a4dd54f0cc1ae630d3c84b63b10c36
SHA-1: 7971d3e84967fcd4c63430f9554be70617152cad
SHA-256: 7ca16571ea06e5bbec439c1aaf29c87d77cc59d48df26dd3dd0a5ad6b59b11f3
Vhash: 255036751516f018195178a063
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
MD5: 2102422fdf58e1f1ea628e864576f437
SHA-1: a071690fa220c12e9b5fa85e70dc3e7c42b30893
SHA-256: fffc3cd304a280746276a3fa580a08f3de6aa2db4196c28ebd1c905607de0997
Vhash: 255036755516f018195178a063
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 13 ноября 2021:
Расширение: .cryt0y
Записка: READ_IT.txt
Изображение, заменяющее обои: wallpaper.bmp
BTC: 1KyGXjmXSEwzQV5ZpMuVpVVwGQfZcSVKdJ
Автозагрузка: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows_Update.url
Файл: MoleculeV².exe
Файл: Molecule.exe, Battle.net.exe
Результаты аналиов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34522, Trojan.Siggen15.40937
BitDefender -> Trojan.GenericKD.47420461, Gen:Variant.Bulz.513918
ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ
Malwarebytes -> Malware.AI.2467090516
TrendMicro -> TROJ_GEN.R002H06KJ21
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: Petrovic, Tomas Meskauskas Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
