CryLocker Ransomware
Cry Ransomware, CSTO Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью якобы RSA-4096 (на самом деле AES-128), а затем требует выкуп на разную сумму, например, 0.27 ($150) или 1.136 ($625) биткоинов, чтобы вернуть файлы обратно. По прошествии 4 дней и 4 часов (=100 часов) при неуплате выкупа его сумма увеличится вдвое.
© Генеалогия: Cry (CryLocker) > Sage
К зашифрованным файлам добавляется расширение .cry.
Этимология названия:
Название придумано самими вымогателями. Ранее мы использовали другое название: от названия поддельной организации, отображаемой на сайте оплаты выкупа: Central Security Treatment Organization Ransomware или кратко Central Security или CSTO, или просто Cry Ransomware.
Верхняя часть сайта поддельной организации
Вся страница с сайта выкупа
Обои имеют в тексте название CryLocker
Шифровальщик CryLocker создает папку с именем "old_shortcuts" на рабочем столе и перемещает все зашифрованные файлы с рабочего стола в эту папку. После успешного шифрования CryLocker создает записки о выкупе с расширениями .txt и .html, содержащие идентичные сообщения, и тоже помещает их на рабочем столе жертвы. Затем удаляет тома теневых копий файлов.
CryLocker отличается от других вымогателей тем, что он сначала копирует файлы, шифрует их, а затем удаляет оригиналы. Большинство вымогателей просто пытаются зашифровать оригинальный файлы.
Записки с требованием выкупа называются: !Recovery_[random_chars].txt и !Recovery_[random_chars].html . Также используется скринлок, встающий обоями рабочего стола (см. картинку выше).
Два варианта записок
Содержание записки о выкупе:
Not your language? Use xxxxs://translate.google.com
WARNING!
YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES
HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM
How did this happen?
Specially for your PC was generated personal 4096 bit RSA key, both public and private.
All your files have been encrypted with the public key.
Decrypting of your files is only possible with the help of the private key and de-crypt program.
What do I do?
Don't wait for a miracle and the price doubled!
Start obtaining 8itcoin now and restore your data easy way!
If you HAVE REALLY VALUABLE DATA, you better MOT WASTE YOUR TIME,
because there is MO OTHER WAY to get your files,
EXCEPT MAKE A PAYMENT
Your personal ID:
*****
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - xxxx://neutx2ll7kh7h7zt.onion.to
2 - xxxx://neutx2H7kh7h7zt.onion.cab
3 - xxxx://neutx2H7kh7h7zt.onion.city
What should you do with these addresses?
1. Take a look at the first address (in this case it is
http://neutx2ll7kh7h7zt.onion.to);
2. Select it with the mouse cursor holding the left mouse button and moving the cursor to the right;
3. Release the left mouse button and press the right one;
4. Select "Copy" in the appeared menu;
5. Run your Internet browser (if you do not know what it is run the Internet Explorer);
6. Move the mouse cursor to the address bar of the browser (this is the place where the site address is written);
7. Click the right mouse button in the field where the site address is written;
8. Select the button "Insert" in the appeared menu;
9. Then you will see the address
xxxx://neutx2ll7kh7h7zt.onion.to
appeared there;
10. Press ENTER;
11. The site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling.
If for some reason the site cannot be opened check the connection to the Internet.
Unfortunately these sites are short-term since the antivirus companies are interested in you do not have a chance to restore your files but continue to buy their products.
Unlike them we are ready to help you always.
If you need our help but the temporary sites are not available:
1. Run your Internet browser (if you do not know what it is run the Internet Explorer);
2. Enter or copy the address
xxxxs://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. Wait for the site loading;
4. On the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. Run Tor Browser;
6. Connect with the button "Connect" (if you use the English version);
7. A normal Internet browser window will be opened after the initialization;
8. type or copy the address xxxx://neutx2ll7kh7h7zt.onion in this browser address bar;
9. Press ENTER;
10. The site should be loaded; if for some reason the site is not loading wait for a moment and try again
!!! IMPORTANT !!!
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.
Перевод записки на русский язык:
Не ваш язык? Воспользуйтесь xxxxs://translate.google.com.
ПРЕДУПРЕЖДЕНИЕ!
ВАШИ ДОКУМЕНТЫ, БАЗЫ ДАННЫХ, ПРОЕКТЫ, АУДИО И ВИДЕО СОДЕРЖИМОЕ, И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ
ЗАШИФРОВАНЫ С АЛГОРИТМОМ ВОЕННОГО КЛАССА
Как это произошло?
Специально для вашего ПК был создан персональный 4096-разрядный ключ RSA, как открытый, так и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы де-шифрования.
Что мне делать?
Не ждать чуда и удвоения цены!
Начните получать биткоины сейчас и легко восстановите свои данные!
Если у вас ДЕЙСТВИТЕЛЬНО ЦЕННЫ ДАННЫЕ, вам лучше НЕ ТЕРЯТЬ ВАШЕ ВРЕМЯ,
потому что есть ТОЛЬКО ОДИН ПУТЬ, чтобы получить ваши файлы,
ЭТО СДЕЛАТЬ ОПЛАТУ
Ваш персональный идентификатор:
*****
Для получения подробных инструкций посетите вашу личную домашнюю страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1 - xxxx://neutx2ll7kh7h7zt.onion.to
2 - xxxx://neutx2H7kh7h7zt.onion.cab
3 - xxxx://neutx2H7kh7h7zt.onion.city
Что вы должны делать с этими адресами?
1. Взгляните на первый адрес (в этом случае xxxx://neutx2ll7kh7h7zt.onion.to);
2. Выберите его с помощью курсора мыши, удерживая левую кнопку мыши и перемещая курсор вправо;
3. Отпустите левую кнопку мыши и нажмите правую;
4. Выберите "Копировать" в появившемся меню;
5. Запустите свой интернет-браузер (если вы не знаете, какой, запустите Internet Explorer);
6. Переместите курсор мыши на адресную строку браузера (это место, где написан адрес сайта);
7. Щелкните правой кнопкой мыши в поле, где написано адрес сайта;
8. В появившемся меню выберите кнопку «Вставить»;
9. Затем вы увидите адрес xxxx://neutx2ll7kh7h7zt.onion.to появится там;
10. Нажмите ENTER;
11. Сайт должен быть загружен; если он не загружен, повторите те же инструкции со вторым адресом и продолжайте до последнего адреса, если он вылетает.
Если по какой-то причине сайт не может быть открыт, проверьте подключение к Интернету.
К сожалению, эти сайты краткосрочные, как антивирусные компании заинтересованы в том, чтобы у вас не было возможности восстановить ваши файлы, но продолжать покупать их продукты.
В отличие от них мы готовы вам помочь всегда.
Если вам нужна наша помощь, но временные сайты недоступны:
1. Запустите свой интернет-браузер (если вы не знаете, какой, запустите Internet Explorer);
2. Введите или скопируйте адрес
xxxxs://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. Дождитесь загрузки сайта;
4. На сайте вам будет предложено загрузить Tor Browser; загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки;
5. Запустите Tor Browser;
6. Подключитесь кнопкой "Подключиться" (если вы используете английскую версию);
7. После инициализации откроется обычное окно интернет-браузера;
8. введите или скопируйте адрес xxxx://neutx2ll7kh7h7zt.onion в эту адресную строку браузера;
9. Нажмите ENTER;
10. Сайт должен быть загружен; если по какой-то причине сайт не загружается, подождите немного и повторите попытку
!!! ВАЖНО !!!
Обязательно скопируйте свой личный идентификатор и ссылку в свой блокнот, чтобы не потерять их.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, кликбейта и веб-страниц с эксплойтами, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Кратко:
CryLocker имеет некоторые интересные характеристики, которые редко встречаются у других вымогателей, например:
- передаёт информацию о жертве на C&C-сервер с использованием UDP (ранее так было только у Cerber);
- использует общественные места (Imgur.com и Pastee.org) для размещения информации о каждой жертве;
- опрашивает Google Maps API для определения местонахождение жертвы по ближайшим SSID Wi-Fi сетей.
Подробно:
Когда ПК жертвы заражен, CryLocker собирает разную информацию, например, версию Windows, разрядность, пакет обновления, имя пользователя, имя ПК и тип его процессора. Эта информация отправляется через UDP на 4096 различных IP-адресов, один из которых это C&C-сервер вымогателей. Использование UDP-пакетов, вероятно, делается для запутывания расположение командного сервера, чтобы власти не могли его захватить.
CryLocker будет загружать ту же информацию, а также список зашифрованных файлов на Imgur.com. Это делается путём сбора всей инфы в поддельный PNG-файл и загрузки его в назначенный альбом в Imgur. После успешной загрузки Imgur даст файлу уникальным имя. Оно будет транслироваться через UDP на 4096 IP-адресов, уведомляя C&C-сервер, что инфицирована новая жертва.
С помощью Google Maps API можно узнать местонахождение устройства, опросив по SSID ближайщие Wi-Fi сети. Вымогатель CryLocker использует функцию WlanGetNetworkBssList, чтобы получить список ближайщих беспроводных сетей и их SSID-ов. Без уверенности о использовании жертвой этих точек с помощью Google Maps создаётся точный снимок её местонахождения. Затем вымогатели могут использовать эти данные, чтобы напугать жертву "своим могуществом" и заставить заплатить выкуп.
Инфецировав ПК CryLocker делает резервную копию ярлыков с рабочего стола и сохраняет их там же в папку "old_shortcuts". Цель этой операции пока неясна.
Список файловых расширений, подвергающихся шифрованию:
.#vc, .$ac,
._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe,
.2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp,
.3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm,
.acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc,
.asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2,
.bd3, .bgt, .bk2, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat,
.cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch,
.chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx,
.crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac,.dat, .db, .dbf,
.dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng,
.doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau,
.dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd,
.eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq,
.ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla,
.flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem,
.gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk,
.hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff,
.iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx,
.ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp,
.kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let,
.lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12,
.m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda,
.mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc,
.mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne,
.mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq,
.ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef,
.nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods,
.odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott,
.p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb,
.pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls,
.plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam,
.ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1, .pr2, .pr3,
.pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk,
.ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1,
.qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw,
.qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif,
.qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd,
.qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf,
.rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss,
.rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd,
.sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm,
.sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str,
.stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04,
.t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1,
.ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2,
.tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl,
.trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt,
.u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi,
.vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1,
.wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq,
.xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,
.xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .zip, .zipx, .zix, .zka (667 расширений).
CryLocker удаляет тома теневых копии с помощью команды:
vssadmin delete shadows /all /quiet
Для закрепления в системе создаёт задание со случайным именем, которое будет запускаться при входе пользователя в Windows.
Затем на рабочем столе создаются записки о выкупе с названиями, которые содержат ID номер и инструкции о том, как получить доступ к TOR-сайту оплаты.
Там же указаны ссылки на сайт оплаты, где требуется ввод персонального кода для входа в пользовательский кабинет. Кроме того: сумма выкупа, которую жертва должна заплатить, Bitcoin-адрес для платежа, есть страница поддержки, которую можно использовать для общения с вымогателями. Можно перетащить в окно и бесплатно дешифровать один файл, чтобы проверить возможность дешифровки файлов. Результатов дешифровки лучше подождать. При неудачном исходе этой операции пострадавшей стороне следует задуматься о бесполезности выкупа.
Файлы, связанные с CryLocker Ransomware:
<random_chars>.exe
<random_chars>.tmp
<random_chars>.html
!Recovery_<random_chars>.html
!Recovery_<random_chars>.txt
old_shortcuts\
<random_chars>
Расположения:
%UserProfile%\AppData\Local\Temp\<random_chars>.exe
%UserProfile%\AppData\Local\Temp\<random_chars>.tmp
%UserProfile%\AppData\Local\Temp\<random_chars>.html
%UserProfile%\Desktop\!Recovery_<random_chars>.html
%UserProfile%\Desktop\!Recovery_<random_chars>.txt
%UserProfile%\Desktop\old_shortcuts\
C:\Windows\System32\Tasks\<random_chars>
Записи реестра, связанные с CryLocker Ransomware:
HKCU\Software\<same_name_as_executable>
Сетевые соединения CryLocker Ransomware:
xxxx://imgur.com
xxxxs://pastee.org/
xxxxs://maps.googleapis.com
UDP Traffic to ip addresses in the 37.x.x.x range
xxxx://neutx2ll7kh7h7zt.onion
xxxx://neutx2ll7kh7h7zt.onion.to
xxxx://neutx2H7kh7h7zt.onion.cab
xxxx://neutx2H7kh7h7zt.onion.city
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter
ID Ransomware (ID as CryLocker )
Write-up, Topic of Support
*
Thanks:
Lawrence Abrams
Michael Gillespie
*
*
© Amigo-A (Andrew Ivanov): All blog articles.
