CryptConsole-1 Ransomware
(фейк-шифровальщик)
Этот вымогатель якобы шифрует файлы пользователей с помощью AES, а затем требует выкуп в 0,25 биткоина за фейк-дешифровку. Название оригинальное. Написан на языке .NET. ---
Обнаружения:
ALYac -> Trojan.Ransom.CryptConsole
Avira (no cloud) -> HEUR/AGEN.1106285, TR/FileCoder.crvdr
BitDefender -> Generic.Ransom.CryptConsole.6561C7EF
DrWeb -> Trojan.MulDrop8.22937, Trojan.MulDrop7.19118
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EN
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Trojan.Agent.Gen
Microsoft -> Ransom:Win32/FileCryptor
Rising -> Ransom.FileCryptor!8.1A7 (CLOUD), Ransom.FileCryptor!8.1A7 (C64*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b0199, Malware.Win32.Gencirc.114d4a93
TrendMicro -> Ransom_HPCONSOLE.SMI0, Ransom_CRYPSOLE.SM
---
© Генеалогия: CryptConsole-1 > CryptConsole-2 > CryptConsole-2-2018 > CryptConsole-3-2018
Изображение — логотип статьи
Мне сначала не было известно о версиях этого вымогателя, потому я условно разделил их на 1-ю и 2-ю версии. Потом это стало явным.
К якобы зашифрованным файлам прибавляется некое недорасширение по шаблону:
[ransom_email]_[0-9A-Z]
[ransom_email]_[random_0-9A-Z]
С известными нам email вымогателей это будет выглядеть как:
unCrypte@outlook.com_[hex] или unCrypte@outlook.com_[random_0-9A-Z]
unCrypte@india.com_[hex] или unCrypte@india.com_[random_0-9A-Z]
decipher_ne@outlook.com_[hex] или decipher_ne@outlook.com_[random_0-9A-Z]
decipher_ne@india.com_[hex] или decipher_ne@india.com_[random_0-9A-Z]
Пример якобы зашифрованного файла:
unCrypte@outlook.com_91CFABE91D02B572FFD6EBFABCFC123D86DBCEAB5B33902D229477A5020C40A188EE08194D0301838C914FD6CF94DD48
Так выглядят якобы зашифрованные файлы
Как оказалось впоследствии, этот вымогатель не шифрует сами файлы, а только переименовывает их названия.
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: How decrypt files.hta
Они заимствованы у Globe Ransomware, под которого, видимо, косят.
Содержание записки о выкупе:
Your files are encrypted!
Your personal ID 764F6A6664514B414373673170615339554A534A5832546A55487169644B4A35
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
How to get the automatic decryptor:
1) Pay 0,25 BTC
Buy BTC on one of these sites:
xxxs://localbitcoins.com
xxxs://www.coinbase.com
xxxs://xchange.cc
bitcoin adress for pay:
1KG8r***
Send 0,25 BTC
2) Send screenshot of payment to unCrypte@outlook.com. In the letter include your personal ID (look at the beginning of this document).
3) You will receive automatic decryptor and all files will be restored
* To be sure in getting the decryption, you can send one file (less than 10MB) to unCrypte@outlook.com In the letter include your personal ID (look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 0,25 btc...
Attention!
• No Payment = No decryption
• You really get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key
Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш персональный ID 764F6A6664514B414373673170615339554A534A5832546A55487169644B4A35
Обнаружена серьезная уязвимость в безопасности вашей сети.
Никакие данные не были украдены и никто не сможет сделать это пока они зашифрованы.
Для вас у нас есть автоматический дешифровщик и инструкции по восстановлению.
Как получить автоматический дешифратор:
1) Оплатить 0,25 BTC
Купить BTC на одном из этих сайтов:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxxs://xchange.cc
Bitcoin-адрес для оплаты:
1KG8r***
Отправить 0,25 BTC
2) Отправить скриншот оплаты на unCrypte@outlook.com. В письме указать свой ID (смотри в начале этого документа).
3) Вы получите автоматический дешифровщик и все файлы будут восстановлены
* Для уверенности в получении дешифровки вы можете отправить один файл (меньше 10 МБ) на unCrypte@outlook.com. В письме указать свой ID (смотри в начале этого документа). Но это действие увеличит стоимость автоматического дешифратора на 0,25... BTC
Внимание!
• Нет оплаты = Нет дешифрования
• Вы действительно получите декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирус
• Попытка самому дешифровать файлы приведет к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, т.к. ключ шифрования уникален для каждого пользователя
В конце января - начале февраля появились версии с текстовыми записками. См. внизу "Блок обновлений".
Технические детали
Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP. Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр.
Почему это возможно?
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер, с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.
Также может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся фейк-шифрованию:
.doc, .docx, .jpg, .jpeg, .pdf, .xls, .xlsx, .rtf, .txt
Это вероятно документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.
Пропускаются папки и файлы в этих папках:
Windows
$Recycle.Bin
Config.Msi
MSOCache
System Volume Information
Recovery
Пропускаются файлы:
svchost.exe
Readme.txt
Readme.hta
bootmgr
BOOTNXT
pagefile.sys
swapfile.sys
hiberfil.sys
loadmgr
Файлы, связанные с этим Ransomware:
How decrypt files.hta - записка
<random>.exe - файл шифровальщика
svchost.exe - файл шифровальщика
sv.exe - файл шифровальщика (другая версия)
Decrypt.exe - дешифровщик от вымогателей
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
unCrypte@outlook.com
decipher_ne@outlook.com
unCrypte@india.com и unCrypte@INDIA.COM
decipher_ne@india.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> VT на дешифровщик >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptConsole-1 Ransomware - январь 2017
CryptConsole-2 Ransomware - февраль - март 2017 - по апрель 2018
CryptConsole-2-2018 - новые версии с апреля 2018 и далее
CryptConsole-3 - новые версии с 19-20 июня 2018 и далее
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 31 января:
К файлам спереди добавляется unCrypte@outlook.com_
Пример зашифрованного файла:
unCrypte@outlook.com_A41725E2EC13FB847C846B93A6A***
Записка на русском языке: !!!_ЧИТАТЬ_ПЕРЕД_ЗАПУСКОМ_!!!.txt
Email: unCrypte@outlook.com
Пост на форуме >>
Обновление от 4 февраля:
К файлам спереди добавляется decipher_ne@india.com_
Примеры зашифрованных файлов:
models.xml -> decipher_ne@india.com_DC96D49B8F9F07DBC5321305D9C5403D
negativ.xml -> decipher_ne@india.com_CC228B27D9523040E45991C5C5EEFC09
Email: decipher_ne@india.com
Записка: Readme.txt
Содержание записки:
YOUR PERSONAL ID: 352E3232362E39392E3130363A333338394047525550415745434F4E5C***
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decipher_ne@india.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 10Mb.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Обновление от 8-9 февраля 2017:
К файлам спереди спереди добавляется unCrypte@india.com_
Файл: smsss.exe
Email: unCrypte@india.com
Записка: Readme.txt
Результаты анализов: VT
Обновление от 20 февраля 2017:
Версия: CryptConsole 2.0
К зашифрованным файлам спереди добавляется something_ne@india.com_
Файл: smsss.exe
Email: something_ne@india.com
Записка: HOW DECRIPT FILES.hta
Подробнее см. в статье CryptConsole 2.0 >>
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
Скачать дешифровщик и расшифровать файлы >>
В первую очередь прочтите инструкцию и рекомендации.
Самое главное — не сделать себе хуже, чем уже есть.
Если не получается, обращайтесь к Майклу Джиллеспи >>
Read to links:
Tweet on Twitter + Tweet
ID Ransomware (ID as CryptConsole)
Topic on BC
Added later:
Write-up (add. January 3, 2017)
Thanks:
xXToffeeXx, Michael Gillespie
Andrew Ivanov (artcile author), Thyrex
*
© Amigo-A (Andrew Ivanov): All blog articles.
