Crypt130

Crypt130 Ransomware

Crypt130 Scareware

(фейк-шифровальщик, пугатель) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью комбинации алгоритмов ROT13 и AES Rijindael, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Crypt130. На файле написано: c.exe. 
---
Обнаружения:
DrWeb -> Trojan.Renamer.121
BitDefender -> Gen:Trojan.Mardom.PN.10
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ARZ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Malware.AI.3989420076
Microsoft -> Trojan:Win32/Mardom!mclg
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10be5681
TrendMicro -> Ransom_Crypren.R002C0PCV23
---

© Генеалогия: родство выясняется >> Crypt130

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К фейк-зашифрованным файлам добавляется расширение: _encrypted

Примеры: 

.docx_encrypted

.jpeg_encrypted

.jpg_encrypted

.lnk_encrypted

.pdf_encrypted

.png_encrypted

.rar_encrypted

.rtf_encrypted

.txt_encrypted

.url_encrypted

.zip_encrypted

На самом деле, файлы не шифруются. 

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Your files have been ecrypted with ransomware 256 bits encrypt secure sssl aiorithm rot 13..:

your personil file have downloaded into my secure server buletprof. every important .borwser. cookes. games...

i can restored you file open if you payed.

i encrypted files you can not open due ssl encrypt rot 13 aes rijindael algorithm miliary file,

how to restored my files back??

and i will erase form my server jpg txt all externsion file secure shred wipe full double method.

email infommatioen cotact dfercvypt files rot 13 back nromal:

my mail inqueres: crypt130@sharklasers.com

cherk btc tamseaction: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD

serach the btc into mail aders dectpyion software will sent on youmail perosnal.

if you can turn pc of it will come back u fuck bit he no easpcae

reemember your file encrypnt by me.....

contaoct to me th e decytpon price decrypt file price amount for btc wallet encrypt transact on

i secrypt cheap for youu other is espensive do not pay otheri!!....

contact us. fast?

negotiate price: crypt130@sharklasers.com

If yuo not deside to pay ranson faiel wl be shared deep web dark web hacker

do you knouw tor?? is dep web aces avoid censoreship by all

hacker sharcerdit card info and paswored and bankging info

quick I! paym now for files be erased secure secure removed from our server bed et prof

we ar kind with ofer wil notkeep you files forever if paeyd

Перевод записки на русский язык:
Ввиду неимоверного количества ошибок и опечаток в оригинальном тексте, перевод приблизительный.

Ваши файлы зашифрованы с помощью ransomware 256 бит шифрования безопасного алгоритма sssl rot 13..:
Ваши личные файлы были загружены на мой защищенный сервер пуленепробиваемые. все важные .браузер. куки. игры...
Я могу восстановить ваш файл, если вы заплатите.
Я зашифровал файлы, которые вы не можете открыть из-за ssl шифрования rot 13 aes rijindael алгоритма военного файла,
Как восстановить мои файлы обратно?
и я сотру с моего сервера jpg txt все расширение файла безопасный shred wipe полный двойной метод.
email information contact dfercvypt files rot 13 back normal:
my mail адрес: crypt130@sharklasers.com
проверьте транзакцию btc: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD
переведите btc на почтовый адрес, программа расшифровки будет отправлена на ваш почтовый ящик.
если вы можете повернуть пк он вернется к вам нахуй он бит он не морской пейзаж
запомните ваш файл зашифрован me.....
свяжитесь со мной расшифровка цена расшифровать файл цена сумма для btc кошелек шифровать транзакция на
я шифрую дешево для вас другие есть es pensive не платите другим!!!....
свяжитесь с нами. быстро?
договориться о цене: crypt130@sharklasers.com
Если вы не желаете платить выкуп, вы будете делиться с хакерами в глубокой паутине темной паутины.
знаете ли вы tor??? это dep web aces избежать цензуры всех
хакер sharcerdit информация карты и пароль и банковская информация
быстро я! платите сейчас за файлы будут стерты безопасно безопасно удалены с нашего сервера кровать и т.д.
мы добры с ofer не будет держать вас файлы навсегда, если заплатил

---

Как сообщил добровольный исследователь, для расшифровки достаточно ввести слово Pass и немного подождать. Это демонстрируется на анимированном изображении ниже. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся фейк-шифрованию:
.docx, .jpeg, .jpg, .lnk, .pdf, .png, .rar, .rtf, .txt, .url, .zip

Это документы MS Office, PDF, текстовые файлы, фотографии, ярлыки, веб-ссылки, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note> - внутренний текст с требованием выкупа;

<random>.exe - случайное название вредоносного файла;
c.exe - название вредоносного файла (использует иконку Discord).  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crypt130@sharklasers.com
BTC: 112Wz7NRWEMJC8jZv9Q3ru6xVBJjg8TRdD

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 421ed51ff27bb5c8dc7696d0c1479298

SHA-1: e865419cdd49791ab1c9e612e5840875dae37b5c

SHA-256: cd41ed86dd2b59459c6e241c5ab3d210f8bd6f12129c1ff838c7d1557797bd40

Vhash: 255036551511f07222294250

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 KdssSupport
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.