Cring Hand-Ransomware
Crypt3r Ransomware
Variants: CRING, RSA, Vjiszy1lo, Ghost, Phantom, VnBeHa99y, Pay4it
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные бизнес-пользователей и серверов с помощью AES-256 + RSA-8192, а затем требует выкуп в ~2 BTC, чтобы вернуть файлы. Оригинальное название проекта: cring.pdb. На файле написано: cring.exe и Crypt3r.
---
Обнаружения:
DrWeb -> Trojan.MulDrop15.64785
BitDefender -> Gen:Variant.Bulz.259226
Avira (no cloud) -> TR/Ransom.knziq
ESET-NOD32 -> MSIL/Filecoder.AEJ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Cring
Microsoft -> Ransom:MSIL/Filecoder.EL!MTB
Qihoo-360 -> Generic/Trojan.4ac
Rising -> Ransom.Filecoder!8.55A8 (TFE:C:c*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Taex
TrendMicro -> Ransom_Filecoder.R002C0DLM20
---
© Генеалогия: ??? >> Cring (Crypt3r)
Rising -> Ransom.Filecoder!8.55A8 (TFE:C:c*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Taex
TrendMicro -> Ransom_Filecoder.R002C0DLM20
---
© Генеалогия: ??? >> Cring (Crypt3r)
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .cring
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась начало декабря 2020 - середину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Сообщается, что жертвами этих атак являются промышленные предприятия некторых стран Европы.
Записка с требованием выкупа называется: deReadMe!!!.txt
Содержание записки о выкупе:
Sorry, your network is encrypted, and most files are encrypted using special technology. The file cannot be recovered by any security company. If you do not believe that you can even consult a security company, your answer will be that you need to pay the corresponding fees, but we have a good reputation. After receiving the corresponding fee, we will immediately send the decryption program and KEY. You can contact us to get two file decryption services, and then you will get all decryption services after paying our fee, usually the cost is about 2 bitcoins. Contact: eternalnightmare@tutanota.com qkhooks0708@protonmail.com
Перевод записки на русский язык:
Извините, ваша сеть зашифрована, а большинство файлов зашифрованы, по специальной технологии. Ни одна компания по безопасности не сможет восстановить файл. Если вы не верите, что можете проконсультироваться в компании по безопасности, ваш ответ будет в том, что вам нужно заплатить соответствующий взнос, но у нас хорошая репутация. После получения соответствующего взноса мы сразу же вышлем программу расшифровки и КЛЮЧ. Вы можете написать нам, чтобы получить
расшифровку двух файлов, и тогда после оплаты нашей комиссии вы получите все услуги по расшифровке, обычно стоимость около 2 биткойнов. Контакт: eternalnightmare@tutanota.com qkhooks0708@protonmail.com
Технические детали
Для распространения используется язвимость в серверах Fortigate VPN. Подробнее смотрите в отчёте специалистов Kaspersky. С помощью устройства Fortinet VPN операторы Cring перемещаются по корпоративной целевой сети, похищая учетные данные пользователей Windows с помощью инструмента Mimikatz, чтобы получить доступ к аккаунта администратора домена. Затем "полезные нагрузки" этого Ransomware доставляются на устройства жертв с помощью фреймворка Cobalt Strike, развернутого с помощью вредоносного сценария PowerShell.
Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Согласно информации от пострадавших от 7 декабря 2020, ранняя версия шифровала только файлы DOC и TXT.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Согласно информации от пострадавших от 7 декабря 2020, ранняя версия шифровала только файлы DOC и TXT.
Январская версия шифровала документы MS Office, а также файлы: .csv, .db, .dwg, .mdb, .pdf, .rar, .txt, .xml, .zip,
После доработки среди зашифрованных оказались: все документы MS Office, PDF, текстовые файлы, файлы образов, архивы и пр.
Доработанная версия вредоноса удаляла файлы резервных копий с расширениями: .VHD, .bac, .bak, .wbcat, .bkf, .set, .win, .dsk. Кроме того удалялись файлы и папки, расположенные в корневой папке диска, если их имена включали "Backup" или "backup". Эти команды выполнялись файлом kill.bat, который потом тоже удалялся.
➤ В атаке используется PowerShell и CobaltStrike (VT + VT + IA). Как известно, CobaltStrike — это дорогой коммерческий фреймворк для эксплуатации и постэксплуатации ($3500 на 1 год на 1 пользователя), но на GitHub есть репозиторий, который содержит исходные коды CobaltStrike, потому он может использоваться небольшой группой вымогателей без покупки.
Файлы, связанные с этим Ransomware:
deReadMe!!!.txt - название файла с требованием выкупа;
kill.bat - специальный файл с командами для остановки некоторых процессов и очищения бекапов на всех дисках:
@echo off net stop BMR Boot Service /y net stop NetBackup BMR MTFTP Service /y sc config SQLTELEMETRY start= disabled sc config SQLTELEMETRY$ECWDB2 start= disabled sc config SQLWriter start= disabled sc config SstpSvc start= disabled taskkill /IM mspub.exe /F taskkill /IM mydesktopqos.exe /F taskkill /IM mydesktopservice.exe /F del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk del %0
cring.pdb - оригинальное название файла проекта;
cring.exe - название вредоносного файла.
cring.exe - название вредоносного файла.
C:\Users\FuckCrowStrike\Desktop\NewCring\Crypt3r\obj\Release\cring.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: eternalnightmare@tutanota.com, qkhooks0708@protonmail.com
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: eternalnightmare@tutanota.com, qkhooks0708@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Обновление от 26 января 2021:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 26 января 2021:
Впервые видим программу, использующую алгоритм RSA-8192.
Расширение: .RSA
Записка: !!!!deReadMe!!!.txt
Email: poolhackers@tutanota.com, eternalnightmare@tutanota.com
➤ Содержание записки:
Sorry, your network is encrypted, and encryption is achieved through rsa, which means that the decryption service can only be provided by us. You cannot decrypt data through a security company. They will only contact us to pay the fee. We recommend that you pay 2 bitcoins directly to us , Or send two files to confirm whether we can decrypt, you need to deal with it as soon as possible, because the key file necessary for decryption will not be kept. Contact: poolhackers@tutanota.com eternalnightmare@tutanota.com
Обновление от 26 января 2021:
Образцы:
38217fa569df8f93434959c1c798b29d
8d156725c6ce172b59a8d3c92434c352
8d1650e5e02cd1934d21ce57f6f1af34
d8415a528df5eefcb3ed6f1a79746f40
Вариант от 1 марта 2021:
Точное родство не установлено, может быть вариантом Crypt3r Ransomware или Parasite Ransomware.
Расширение-1: .vjiszy1lo
Расширение-2: .vjiszy1lo.1lo_decryptkey.vjiszy1lo
Расширение с повтором: .vjiszy1lo.1lo_decryptkey.vjiszy1lo.1lo_decryptkey.vjiszy1lo
И далее, добавляя дальше то же самое.
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: shadowghosts@tutanota.com, fortihooks@protonmail.com
➤ Содержание записки:
==================================================
YOUR ID : {2e8d8b9a-affa-4b20-ad9d-25302f64cb55}
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
OOPS! YOUR IMPORTANT F1LES HAS BEEN ENC:(RYPTED !!!
DO NOT WORRY! FILES ARE SAFE! JUST MODIFIED ONLY. (RSA + AES)
++++++++++++++++++++++++++++++++++++++++++++++++++
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY
SOFTWARE WILL PERMENANTLY DESTORY YOUR FILE !!!
NO SOFTWARE AVALIABLE ON INTERNET CAN HELP YOU!
ONLY WE HAVE SOLUTION TO YOUR PROBLEM.
WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.
----------------------------------------------------------------
YOU NEED TO PAY 2.0 BITCOINS TO OUT ACCOUNT, AFTER THE PAYMENT
IS CONFIRMED, WE WILL IMMEDIATELY DELETE ALL OF YOUR FILES ON
OUR SERVER AND SEND THE DECRYPTION PROGRAM AND PRIVATE KEY TO YOU.
IF YOU DECIDE TO NOT PAY OR THERE IS NO PAYMENT WITHIN 7-DAYS,
WE WILL DELETE THE DECRYPTION KEY FROM OUT DATABASE, AND SOME
OF YOUR IMPORTANT DATA WILL BE RELEASE TO PUBLIC OR RE-SELL!
DO NOT KNOW HOW TO BUY BITCOIN ? JUST GOOGLE IT:)
----------------------------------------------------------------
CONTACT US FOR PAYMENT CONFIRMTION AND GET DECRYPTION SOFTWARE :
shadowghosts@tutanota.com
fortihooks@protonmail.com (IF NO ANSWER WITHIN 24-HOURS)
==================================================
---
Файл: SchoolPrject1.exe
➤ Обнаружения:
DrWeb -> Trojan.EncoderNET.31371
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vbfqb
BitDefender -> Generic.Ransom.HydraCrypt.9A3E2D9A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFI
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.KillFiles
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Anql
TrendMicro -> Ransom_RAMSIL.SM
Вариант от 14 марта 2021:
Расширение: .jpghosts
Записки: HOW_CAN_GET_FILES_BACK.rtf, HOW_CAN_GET_FILES_BACK.txt
Файл: Ghost.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33817, Trojan.Encoder.33818
BitDefender -> Trojan.GenericKD.45914521, Trojan.GenericKD.45940669
ESET-NOD32 -> MSIL/Filecoder.AGT
Malwarebytes -> Ransom.Parasite
Microsoft -> TrojanDownloader:O97M/Obfuse.TB!MTB
Rising -> Ransom.Agentb!8.1139A (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Agentb.Lned
TrendMicro -> Ransom.Win32.GHOST.ZTIC
Вариант от 17 марта 2021:
Используется шифрование: AES-256 + RSA-8192
Кроме того используется название: Ghost.
В IDR записан как Crypt3r / Ghost
Расширение: .phantom
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: rsaecho@tutanota.com, shadowghosts@tutanota.com
Вариант от 30 марта 2021:
Расширение: .VnBeHa99y
В оригинальных файлах стерто содержимое.
Записка: HOW_TO_GET_FILES_BACK.txt
Email: securityaccounts@tutanota.com, brendasrivera@tutanota.com
Вариант от 11 апреля 2021:
Расширение: .pay4it
Вариант от 28 апреля 2021:
Расширение: .lldc
Записки: LOOK_THIS_BACK_FILE.rtf, LOOK_THIS_BACK_FILE.txt
Email: takunoya@tutanota.com, etira@tutanota.com
➤ Содержание записки:
Guide: 3a449598-1ac0-46aa-8fb8-673c88c92***
Don't worry, your files can be recovered!
You can seek support from security vendors, but they will definitely contact us because (AES + RSA) cannot be recovered by other means
You need to send us your ID so that we can confirm the recovery process
Your important documents have been specially processed
We only need money and will not expose or damage your reputation
____________________________________________________________________
You need to pay $50,000
After confirming the receipt, we will send you the recovery procedure and private key.
If you do not reply within three days, the decryption fee will increase by 0.5btc per day
If there is no contact for more than 7 days, we will publish all the data obtained from your network on the dark web, and there will usually be suitable buyers!
After paying the fee, we will notify you of serious vulnerabilities in the system!
We will also delete the data stored on our servers!
Please contact us after careful consideration
Guide: 3a449598-1ac0-46aa-8fb8-673c88c92***
takunoya@tutanota.com
etira@tutanota.com
Вариант от 2 июня 2021:
Расширение: .locked
HOW_CAN_RECOVERY.txt
Email: JulioErick@tutanota.com, payorleak@cock.li
Расширение: .sg-ghosts
Результаты анализов: VT
Вариант от 9 октября 2021:
Расширение: .just4money
Записка: HOW_CAN_RECOVERY.txt
Email: Just4money@TUTANOTA.COM, payorleak@cock.li
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message ID Ransomware (ID as Crypt3r, new: Crypt3r/Ghost/Cring) Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) quietman7, Karsten Hahn, Michael Gillespie *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.