Если вы не видите здесь изображений, то используйте VPN.

суббота, 12 июня 2021 г.

CryT0Y

CryT0Y Ransomware

Cryt0y Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп $80 в BTC, чтобы вернуть файлы. Оригинальное название: CryT0Y (может быть указано 
в записке в некоторых вариантах). На файлах разных вариантов может быть написано: Bypasds.exe и Photoshop.exe (Adobe Photoshop CC 2019). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34091, Trojan.Encoder.34522
BitDefender -> Trojan.GenericKD.37156886
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJP
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Malware.AI.73223453, Ransom.cryt0y
Microsoft -> Trojan:Win32/Wacatac.B!ml, Program:Win32/Multiverze
Rising -> Trojan.Generic/MSIL@AI.92 (RDM.MSIL*, 
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Hmhe, Msil.Trojan.Agent.Pepw, Malware.Win32.Gencirc.11c468e4
TrendMicro -> TROJ_GEN.R002H07FS21, Ransom.MSIL.CRYTOY.YXBLV
---

© Генеалогия: ??? >> Cryt0y

Этимология названия: 
В названии CryToy используются два разных значения. "CryToy" понятно тем, кто говорит по-английски. Но если вы прочитаете это по-русски, то будет совсем другое значение — получится слово "крутой". Я выбрал это изображение в качестве логотипа статьи, потому что оно соответствует обоим этим заголовкам одновременно. 


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Образцы этого крипто-вымогателя были обнаружены в первой и во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно, пока находится разработке. 
На файле может быть написано Adobe Photoshop CC 2019, вероятно, он  распространяется под таким именем на сайтах пиратского и взломанного ПО.

К зашифрованным файлам добавляется расширение: .cryt0y



Записка с требованием выкупа называется: READ_IT.txt, но может использоваться быть и другой, похожий файл. 


Содержание записки о выкупе:
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. 
Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our Public key 
2 - You can decrypt, the encrypted files with specific Private key and your private key is in our hands ( It's not possible to recover your files without our private key )
Yes, We have a decrypter with the private key. We have one option to get all your data back.
Follow the instructions to get all your data back:
Step 1 : You must send us 80$ worth of Bitcoin for your affected system 
Step 2 : After you sent us the bitcoin our system automatically decrypt all you files and our software will delete itself.
Our bitcoin address: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj

Перевод записки на русский язык:
Все ваши файлы зашифрованы с RSA-4096, Читайте на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных. 
RSA - это асимметричный криптографический алгоритм.
Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть отдан любому:
1 - Мы зашифровали ваши файлы нашим открытым ключом
2 - Вы можете расшифровать зашифрованные файлы специальным Закрытым ключом, а ваш закрытый ключ в наших руках (невозможно вурнуть ваши файлы без нашего закрытого ключа)
Да, у нас есть дешифратор с закрытым ключом. У нас есть одна возможность вернуть все ваши данные.
Следуйте инструкциям, чтобы вернуть все свои данные:
Шаг 1. Вы должны отправить нам 80$ в биткойнах за вашу уязвимую систему.
Шаг 2: Как только вы отправите нам биткойны, наша система автоматически расшифрует все ваши файлы, а наша программа самоудалится.
Наш биткойн-адрес: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj


Другим информатором жертвы является hta-файл. Название файла не установлено. Текст может немного отличаться в разных вариантах. На скриншоте ниже BTC-адрес указан в нижнем блоке записки, и сам адрес другой. Является ли он уникальным для каждой жертвы, не установлено, т.к. были рассмотрены только два разных файла. 



Содержание одного из вариантов записки: 
What happened to your files?
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our Public key
2 - You can decrypt, the encrypted files with specific Private key and your private key is in our hands ( It's not possible to recover your files without our private key )
Is it possible to get back your data?
Yes, We have a decrypter with the private key. We have one option to get all your data back.
"Follow the instructions to get all your data back:
Step 1 : You must send us 80$ worth of Bitcoin for your affected system
Step 2 : After you sent us the bitcoin our system automatically decrypt all you files and our software will delete itself
Our Bitcoin address is: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj
Where to buy Bitcoin?
The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online
MMoga.com Bitcoin gift cards is a fast way to buy bitcoins.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Пытается изменить настройки безопасности Windows, отключает защиту в реальном времени у Windows Defender. 
Использует подписанные сертификаты от Microsoft. 

Схема запуска: 

Список типов файлов, подвергающихся шифрованию:
Полный список целевых типов файлов неизвестен, но шифрует не все файлы. Среди увиденных во время тестирования были следующие расширения:
.crw, .csv, .docm, .docx, .dotx, .odt, .html, .png, .pps, .raw, .xls, .xlsm, .xlsx, .wps. 
Можно отметить, что это документы MS Office (не все типы), Microsoft Works, OpenOffice, веб-страницы, фотографии и файлы других типов изображений. Полный список шифруемых типов файлов не был получен. 

Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа;
Bypasds.exe - название вредоносного файла; 
Photoshop.exe - название вредоносного файла; 
estxrbbr.exe - название вредоносного файла;
qljjmbot.inf - используемый файл;

  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: в контактах не используется.  
BTC: 1M2gaPPNHuJfNVAEaHhQ6ZejK2PHxHbmSj
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов:
IOC-1: VT, HA, IA, TG, AR, VMR, JSB
MD5: 48a4dd54f0cc1ae630d3c84b63b10c36
SHA-1: 7971d3e84967fcd4c63430f9554be70617152cad
SHA-256: 7ca16571ea06e5bbec439c1aaf29c87d77cc59d48df26dd3dd0a5ad6b59b11f3
Vhash: 255036751516f018195178a063
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
---
IOC-2: VT, HA, IA, TG, AR, VMR, JSB
MD5: 2102422fdf58e1f1ea628e864576f437
SHA-1: a071690fa220c12e9b5fa85e70dc3e7c42b30893
SHA-256: fffc3cd304a280746276a3fa580a08f3de6aa2db4196c28ebd1c905607de0997
Vhash: 255036755516f018195178a063
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 ноября 2021:
Расширение: .cryt0y
Записка: READ_IT.txt 
Изображение, заменяющее обои: wallpaper.bmp
BTC: 1KyGXjmXSEwzQV5ZpMuVpVVwGQfZcSVKdJ



Автозагрузка: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows_Update.url
Файл: MoleculeV².exe
Результаты аналиов: VT + AR + TG
Файл: Molecule.exe, Battle.net.exe
Результаты аналиов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34522, Trojan.Siggen15.40937
BitDefender -> Trojan.GenericKD.47420461, Gen:Variant.Bulz.513918
ESET-NOD32 -> A Variant Of MSIL/Filecoder.GZ
Malwarebytes -> Malware.AI.2467090516
TrendMicro -> TROJ_GEN.R002H06KJ21



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, Tomas Meskauskas
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *