CryptConsole-2 Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5-0,7 биткоинов, чтобы вернуть файлы. Оригинальное название. Написан на языке C# для платформы Microsoft .NET Framework.
---
Обнаружения:
DrWeb -> Trojan.Encoder.10371, Trojan.Encoder.10451, Trojan.Encoder.10506
ALYac -> Trojan.Ransom.CryptConsole
Avira (no cloud) -> TR/Dropper.MSIL.zzydu, TR/Dropper.MSIL.hkuej, HEUR/AGEN.1129525
BitDefender -> Gen:Heur.MSIL.Bladabindi.1, Generic.Ransom.CryptConsole.D7ECD15D
ESET-NOD32 -> A Variant Of MSIL/Kryptik.SAC, MSIL/CryptConsole.A, A Variant Of MSIL/CryptConsole.A,
Kaspersky -> Trojan-Ransom.Win32.Crypmod.yid, Trojan-Ransom.Win32.Crypmod.yiu, Trojan-Ransom.Win32.Crypmod.yiw
Malwarebytes -> Malware.AI.1365940961, Ransom.FileCryptor, Malware.AI.4248421135
Microsoft -> Ransom:Win32/Genasom, Ransom:Win32/Genasom, Ransom:Win32/FileCryptor
Rising -> Ransom.Crypmod!8.DA9 (CLOUD), Trojan.Filecoder!8.68 (KTSE)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2, Infostealer.Limitail
Tencent -> Malware.Win32.Gencirc.114afe6a, Win32.Trojan.Filecoder.Pgwq, Win32.Trojan.Crypmod.Htvw
TrendMicro -> Ransom_CRYPTCONSOLE.B, Ransom_CRYPTCONSOLE.E, Ransom_HPCONSOLE.SMI0
---
© Генеалогия: CryptConsole-1 > CryptConsole-2 > CryptConsole-2-2018 > CryptConsole-3
Изображение не принадлежит шифровальщику (это логотип статьи)
На момент написания статьи мне не было известно о версиях этого вымогателя, потому я условно разделил их на 1-ю и 2-ю версии.
- Первая версия не шифровала файлы.
- Вторая шифрует файлы, имеет другие контакты, кошелёк, сумму выкупа. ID стал длиннее на 8 знаков. Файлы могут быть расшифрованы.
К зашифрованным файлам добавляется приставка, состоящая из email вымогателей и переведённого в hex имени файла. Т.е. имя файла переименовывается в hex и ставится после почты вымогателей. В результате чего получается нечто, состоящие из email вымогателей и набора букв и цифр.
Пример зашифрованного файла:
setup.ini -> something_ne@india.com_73657475702E696E69
Шаблон итогового зашифрованного файла можно записать как:
something_ne@india.com_[hex]
или something_ne@india.com_[random_0-9A-Z]
или [ransom_email]_[0-9A-Z]
Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: HOW DECRIPT FILES.hta
Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
33372E34342E34362E3231363A33333839405345525645525C62756830313B6275683031
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
How to get the automatic decryptor:
1) 0.7 BTC
Buy BTC on one of these sites:
https://localbitcoins.com
https://www.coinbase.com
https://xchange.cc
bitcoin adress for pay:
14h5cEc***
Send 0.7 BTC
2) Send screenshot of payment to something_ne@india.com. In the letter include your personal ID(look at the beginning of this document).
3) You will receive automatic decryptor and all files will be restored
* To be sure in getting the decryption, you can send one file(less than 10MB) tosomething_ne@india.com In the letter include your personal ID(look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 0.1 btc...
Attention!
• No Payment = No decryption
• You really get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key
• If you can't send a message, try to write with the other e-mail address, for example register mail.india.com
Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш персональный ID
33372E34342E34362E3231363A33333839405345525645525C62756830313B6275683031
Обнаружена серьезная уязвимость в безопасности вашей сети.
Никакие данные не были украдены и никто не сможет сделать это пока они зашифрованы.
Для вас у нас есть автоматический дешифровщик и инструкции по восстановлению.
Как получить автоматический дешифратор:
1) 0,7 BTC
Купить BTC на одном из этих сайтов:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxxs://xchange.cc
Bitcoin-адрес для оплаты:
14h5cEc ***
Отправить 0,7 BTC
2) Отправить скриншот оплаты на something_ne@india.com. В письме указать свой ID (смотри в начале этого документа).
3) Вы получите автоматический дешифровщик и все файлы будут восстановлены
* Для уверенности в получении дешифровки вы можете отправить один файл (меньше 10 МБ) на something_ne@india.com. В письме указать свой ID (смотри в начале этого документа). Но это действие увеличит стоимость автоматического дешифратора на 0,1 ... BTC
• Нет оплаты = Нет дешифрования
• Вы действительно получите декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирус
• Попытка самому дешифровать файлы приведет к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, т.к. ключ шифрования уникален для каждого пользователя
• Если вы не можете отправить сообщение, попробуйте написать с другого email-адреса, например, зарегистрироваться на mail.india.com
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW DECRIPT FILES.hta
smsss.exe
KEYS.txt
something_ne_india.com_[random_0-9A-Z].exe например:
something_ne_india.com_736D7373732E657865.exe
Расположение:
%USERPROFILE%\Desktop\
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
something_ne@india.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptConsole-1 Ransomware - январь 2017
CryptConsole-2 Ransomware - февраль - март 2017 - по апрель 2018
CryptConsole-2-2018 - новые версии с апреля 2018 и далее
CryptConsole-3 - новые версии с 19-20 июня 2018 и далее
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 7 марта 2017:
К файлам спереди добавляется someone_ne@india.com_
Записка о выкупе: HOW DECRIPT FILES.hta
Email: someone_ne@india.com
Обновление от 13 марта 2017:
К файлам спереди добавляется lacky@india.com_
Записка о выкупе: HOW DECRIPT FILES.hta
Файл: smsss.exe
Email: lacky@india.com
Результаты анализов: VT
Обновление от 18 марта 2017:
К файлам спереди добавляется trulolo@india.com_
Файл: smsss.exe
Email: trulolo@india.com
Результаты анализов: VT
---
Пропущенные обновления с марта по октябрь 2017
Пропущенные обновления с марта по октябрь 2017
---
Обновление от 4 октября 2017:Пост в Твиттере >>
К файлам спереди добавляется bit-tray@tutanota.com_
Записка о выкупе: HOW DECRIPT FILES.hta
Email: bit-tray@tutanota.com
За помощью обращайтесь по ссылке.
Результаты анализов: VT
=== 2018 ===
Обновление от 2 марта 2018:
Пост в Твиттере >>
К файлам спереди добавляется qar48@tutanota.com_
Записка о выкупе: HOW DECRIPT FILES.hta
Email: qar48@tutanota.com
Файл: Decrypt.exe
Результаты анализов: VT
Обновление от 30 марта 2018:
К файлам спереди добавляется zer90@tutanota.com_
Имя файла переименовывается в hex и ставится после почты вымогателей.
Пример зашифрованного файла: zer90@tutanota.com_217A7536D737A6540***
Записка о выкупе: HOW DECRIPT FILES.hta
Email: zer90@tutanota.com
Обновление от 20-24 апреля 2018:
Пост в Твиттере >>
Отдельная статья CryptConsole-2-2018 Ransomware >>
К файлам спереди добавляется sequre@tuta.io_
Имя файла переименовывается в hex и ставится после почты вымогателей.
Пример зашифрованного файла: sequre@tuta.io_7654321757A654074757***
Записка о выкупе: HOW DECRIPT FILES.hta
Email: sequre@tuta.io
Сумма выкупа: 0.14 BTC
BTC: 14vo2jGKGemxwWKySqPKJ2kTh4MoboqAbG
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.25180
ALYac -> Trojan.Ransom.CryptConsole
Avira (no cloud) -> TR/Dropper.MSIL.Gen
BitDefender -> Gen:Variant.Ransom.CryptConsole.4
ESET-NOD32 -> A Variant Of MSIL/Kryptik.QWC
Tencent -> Win32.Trojan.Generic.Swkj
TrendMicro -> Ransom_SEQUR.THDBGAH
Обновление от 22 апреля 2018:
К файлам спереди добавляется xzet@tutanota.com_
🎥 Видеообзор от GrujaRS >>
Пост в Твиттере >>
Имя файла переименовывается в hex и ставится после почты вымогателей.
Пример зашифрованного файла: xzet@tutanota.com_736D7373732E657865***
Записка о выкупе: HOW DECRIPT FILES.hta
Email: xzet@tutanota.com
BTC: 171WytZSEVCCW1QcK1SWaGq2kZWbhy3dF2
Сумма выкупа: 0.112 BTC
Файл: smsss.exeРезультаты анализов: VT + VB + HA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.24755
ALYac -> Trojan.Ransom.CryptConsole
Avira (no cloud) -> HEUR/AGEN.1129525
BitDefender -> Generic.Ransom.CryptConsole.A10B7B41
ESET-NOD32 -> A Variant Of MSIL/CryptConsole.A
Rising -> Ransom.Generic!8.E315 (CLOUD)
Tencent -> Malware.Win32.Gencirc.114921c8
TrendMicro -> Ransom_HPCONSOLE.SMI0
Новые образцы этой версии добавляются в блок обновлений статьи CryptConsole-2-2018 Ransomware
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptConsole-1 Ransomware - январь 2017
CryptConsole-2 Ransomware - февраль - март 2017 - по апрель 2018
CryptConsole-2-2018 - новые версии с апреля 2018 и далее
CryptConsole-3 - новые версии с 19-20 июня 2018
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть декриптер Скачать CryptConsole Decrypter >>> В первую очередь прочтите инструкцию и рекомендации. Самое главное — не сделать себе хуже, чем уже есть. Если не получается, обращайтесь к Майклу Джиллеспи >>
Read to links: Tweet on Twitter ID Ransomware (ID as CryptConsole) Support Topic *
Thanks: Michael Gillespie BleepingComputer Andrew Ivanov *
© Amigo-A (Andrew Ivanov): All blog articles.
