DoubleLocker Ransomware
CryEye Ransomware
(шифровальщик-вымогатель для Android, мобайл-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей на Android-устройствах с помощью AES, а затем требует выкуп в 0.0130 BTC, чтобы вернуть файлы. Выкуп должен быть уплачен в течение 24 часов. Но, если выкуп не уплачен, данные остаются зашифрованными и не удаляются. Оригинальное название: CryEye. Прототип распространялся под именем CryEye на форумах Даркнета с лета 2017.
© Генеалогия: Удобная ниша (CNAM) >> DoubleLocker
CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств.
Я придумал этот термин, чтобы в культурной форме назвать это злачное место.
Этимология названия:
DoubleLocker получил это название за то, что он дважды блокирует Android-устройство: изменяет PIN-код и шифрует файлы на устройстве.
К зашифрованным файлам добавляется расширение .cryeye
Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает сообщение на экране устройства.
Содержание записки о выкупе:
Current state information
Your personal documents and files on this device have just been crypted. The original files have been deleted and will only be recovered by following the steps described below. The encryption was done with a unique generated encryption key (using AES-256).
Data will be lo after 23h
Number of encrypted files 3437
The cost of the key for decryption 0.0130 BTC
---
Please make payment to this Bitcoin address or you can scan QR-code to get Bitcoin-address easily. The operation is complete if there are 3 confirmations.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
send 0.0130 BTC to this address to get private key
Перевод записки на русский язык:
Текущая информация о состоянии
Ваши личные документы и файлы на этом устройстве только что были зашифрованы. Исходные файлы были удалены и будут восстановлены только после выполнения описанных ниже действий. Шифрование было выполнено с помощью уникального сгенерированного ключа шифрования (с использованием AES-256).
Данные будут потеряны после 23 часов
Количество зашифрованных файлов 3437
Стоимость ключа для дешифрования 0.0130 BTC
---
Пожалуйста, сделайте оплату на этот биткойн-адрес или вы можете сосканировать QR-код, чтобы легко получить биткойн-адрес. Операция завершена, если есть 3 подтверждения.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
отправьте 0.0130 BTC по этому адресу, чтобы получить секретный ключ
1) Оригинальное название — CryEye, указано внизу первого скриншота.
2) Полный текст требований с ответом на вопрос "Как я могу заплатить?".
3) Телефон не может опознать SIM-карту, работа устройства невозможна.
Удаление и защита от DoubleLocker (CryEye)
Чтобы удалить DoubleLocker, можно использовать следующие способы.
1) На нерутованном устройстве, на котором не установлено программное решение для управления мобильным устройством, способное сбросить PIN-код, есть только один способ избавиться от экрана блокировки – сбросить устройство до заводских настроек. См. там, например, Настройки - Восстановление и сброс - Сброс настроек - Сбросить настройки.
2) На рутованном устройстве, на котором ранее было установлено программное решение для управления мобильным устройством, пользователь может подключиться к устройству через ADB (Android Debug Bridge - Отладочный мост Android) и удалить файл, в котором хранится PIN-код.
- Для этого надо в настройках включить отладку устройства по USB (Настройки – Параметры разработчика – Отладка по USB).
- Если устройство было рутовано ранее, а потом отладка по USB была выключена, то временным "разработчиком" своего устройства можно стать, если потыкать 5 раз пункт "Номер сборки" и вернуться. Появится пункт "Для разработчиков", если его раньше не было, а там уже будет опция "Отладка по USB". Её можно как включить, так и отключить.
- Теперь можно удалить экран блокировки и вернуть доступ к устройству.
- Потом перезагрузить устройство в безопасном режиме, деактивировать права администратора устройства для DoubleLocker (CryEye) и прочих неизвестных вам приложений и удалить его.
- Затем нужно перезагрузить устройство в нормальном режиме.
- Режим "Для разработчиков" обычно отключается переключателем, находящейся в верхней части этого раздела.
Для профилактики заражения Android-устройства подобными вредоносами следует защищать его качественными продуктами информационной безопасности и регулярно делать резервные копии имеющихся данных, например, с помощью отладки по USB или облачных средств хранения данных.
Технические детали
DoubleLocker распространяется под видом фальшивого Adobe Flash Player через скомпрометированные сайты. Может также начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
DoubleLocker можно считать первым шифровальщиком-вымогателем, использующим службу специальных возможностей Android Accessibility Service. Он не только шифрует данные, но и блокирует устройство. Функций, связанных со сбором банковских данных пользователей и удаления аккаунтов, у него не активированы, вместо этого DoubleLocker настроен для вымогательства выкупа в биткоинах.
Точнее, сначала DoubleLocker пытается стереть найденные банковский и PayPal-аккаунты, а затем заблокирует устройство и данные, чтобы запросить выкуп. Возможно, что в будущем он будет сам похищать информацию и средства.
После запуска вредонос предлагает активировать службу специальных возможностей "Google Play Service". После получения разрешения DoubleLocker использует их для активации прав администратора устройства и без согласия пользователя устанавливает себя как программа-лаунчер по умолчанию. После чего, любое нажатие пользователь на кнопку «Домой» заново активирует вымогателя и снова блокирует устройство.
Аргументы, которыми вымогатель может заставить заплатить выкуп:
1) DoubleLocker изменяет PIN-код планшета или смартфона, что не даёт использовать устройство; в качестве нового PIN задается случайное значение, код не хранится на устройстве и никуда не отправляется, поэтому пользователь не сможет его восстановить, но после получения выкупа злоумышленник может удалённо сбросить PIN и разблокировать устройство.
2) DoubleLocker шифрует все файлы в основном хранилище устройства, используя алгоритм шифрования AES и добавляет расширение .cryeye к зашифрованным файлам.
Список файловых расширений, подвергающихся шифрованию:
Это документы офисных программ, PDF, текстовые файлы, фотографии, музыка, видео и пр.
Пример зашифрованных файлов
Файлы, связанные с этим Ransomware:
***
Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: высокая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
*
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as DoubleLocker) Write-up, Write-up, Write-up, 🎥 Video review + Video review
Thanks: Lukas Stefanko, ESET NOD32 Michael Gillespie Catalin Cimpanu *
© Amigo-A (Andrew Ivanov): All blog articles.