Crocodile Smile

Crocodile Smile Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 20,6 BTC, чтобы вернуть файлы. Оригинальное название: Crocodile Smile Ransomware, указано в записке. На файле написано: Xview.exe. Запрашивает нереальную для уплаты выкупа сумму в BTC. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.35905
BitDefender -> Trojan.GenericKD.72342699
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.C
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Neshta.Virus.FileInfector.DDS
Microsoft -> Ransom:MSIL/FileCoder.YG!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Trojan-Ransom.Win32.Agent.16000623
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
---

© Генеалогия: Chaos >> BlackSnake >> Crocodile Smile

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале апреля 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .CrocodileSmile

Записка с требованием выкупа называется: READ_SOLUTION.txt

Содержание записки о выкупе:

If you are opportune to see this message right now, that means your data security has been compromised !!!

You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.

All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.

In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files. 

We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.

To initiate the decryption process and retrieve your files, please follow these official steps:

    1) Contact our designated communication channel via Telegram ID: CrocodileSmile

    2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.

3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.

We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.

Перевод записки на русский язык:

Если вы видите это сообщение прямо сейчас, это значит, что безопасность ваших данных нарушена!!!

Вы сильно пострадали от сложной Ransomware атаки от CROCODILE SMILE, LOL. Эта атака известна как OPERATION FLUSH.

Все ваши критически важные и конфиденциальные файлы, включая личные документы, фотографии, базы данных и другую важную информацию, были зашифрованы, раскрыты и переданы на наши серверы.

В соответствии с европейскими правилами защиты данных мы обращаемся к вам, чтобы сообщить вам об этом нарушении и предложить помощь в восстановлении ваших зашифрованных файлов.

Мы осознаем серьезность ситуации и стремимся к быстрому поиску решения. Нашим приоритетом является защита репутации вашей организации и обеспечение сохранения конфиденциальности ваших файлов и документов, без каких-либо утечек или компрометации.

Чтобы начать процесс расшифровки и получить файлы, выполните следующие официальные действия:

 1) Контакт по указанному каналу связи через Telegram ID: CrocodileSmile.

 2) Примите необходимые меры для получения 20,6 BTC в качестве оплаты за услугу расшифровки. Обратите внимание, что расшифровка может быть завершена только после получения оплаты в биткойнах.

3) После успешной оплаты мы предоставим вам ключ дешифрования, необходимый для быстрой расшифровки всех затронутых файлов. Мы заверяем вас, что соблюдение этих инструкций имеет решающее значение для восстановления ваших данных.

Мы призываем вас действовать быстро, чтобы предотвратить дальнейшую потерю данных и восстановить целостность ваших информационных активов. Если вам потребуются какие-либо разъяснения или помощь, не стесняйтесь обращаться к нам по указанному каналу связи.

Кроме того Crocodile Smile меняет обои Рабочего стола на свое фото с крокодилами (файл 3zg21xzy6.jpg). 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:

Почти все популярные типы файлов. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_SOLUTION.txt - название файла с требованием выкупа;
Xview.exe - название вредоносного файла;

3zg21xzy6.jpg - изображение, заменяющее обои Рабочего стола.  

Файл READ_SOLUTION.txt добавляется в Автозагрузку и показывается на фоне картинки с крокодилами при каждом включения компьютера. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram ID: CrocodileSmile

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, IA, TG, AR

MD5: bc7d2982cf93e751f42e42e649856949 

SHA-1: 5d760bf9bacdd2dbb77c1c31af142025fe8a1a91 

SHA-256: 88003a5d7e92939d923369ef7d7a9d54230dd8aa1e97760a04df75b89aa62126 

Vhash: 24503615151f00b1911z37  

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.