Cry36 Ransomware
X3M Ransomware: Next Variation
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RC4, а затем требует выкуп в # BTC, чтобы вернуть файлы. Название получил из-за новых особенностей.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: X3M > CryptON > X3M Next > Cry128 > Cry36
Этимология названия:
В отличие от предыдущих итераций у данного шифровальщика имеется особенность, выражающаяся в том, что зашифрованный файл на 36 байт больше, чем оригинал. Отсюда название.
К зашифрованным файлам добавляется случайное расширение с пристройкой в виде ID+email, или ID+onion-сайт.
Примеры расширений без пристройки:
.08c85
.4se9s
.47kv5
.5d4s9
.830s7
.a97rq
.b1m74
.be87r
.gpsdh
.l454t
.netn6
.r2vy6
.vs95l
Примеры зашифрованных файлов по шаблону .id-1234567890_[email_ransom].<random5>
SECRET.TXT.id-1234567890_[mk.baraka@aol.com].830s7
SECRET.TXT.id-1234567890_[mk.rain@aol.com].be87r
SECRET.TXT.id_1234567890_[mk.kabal@aol.com].gpsdh
SECRET.TXT.id_1234567890_[m.reptile@aol.com].47kv5
SECRET.TXT.id_1234567890_[yotabyte@protonmail.com].4se9s
SECRET.TXT.id_1234567890_[liukang@mortalkombat.su].08c85
SECRET.TXT.id_1234567890_[don-corleone@mortalkombat.su].vs95l
Примеры зашифрованных файлов по шаблону .id-1234567890_<URL_ransom>.onion*
SECRET.TXT.id_1234567890_fgb45ft3pqamyji7.onion
C360_1970-01-02-08-01-39-912.jpg.id_87654545_fgb45ft3pqamyji7.onion
SECRET.TXT.id_1234567890_gebdp3k7bolalnd4.onion._
SECRET.TXT.id_1234567890_2irbar3mjvbap6gt.onion.to._
* (звёздочка) здесь означает добавления после расширения onion
Шаблоны для Cry36 кратко можно записать так:
.id_<ID_0-9{10}>_[email_ransom].<random5>
.id_<ID_0-9{10}>_[URL_onion]
.id_<ID_0-9{10}>_[URL_onion]._
Активность этого крипто-вымогателя пришлась на конец апреля, весь май, июнь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа были разные, они называются:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
-DECRYPT-MY-FILES.txt
Содержание записки о выкупе ### DECRYPT MY FILES ###.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: mk.rain@aol.com
Your personal ID: 123456789
Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу - «Nemesis decryptor»
Вы можете узнать детали / купить декриптор + ключ / спросить по email: mk.rain@aol.com
Ваш личный ID: 123456789
Содержание записки о выкупе _DECRYPT_MY_FILES.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://fgb45ft3pqamyji7.onion.to (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (not need Tor)
You ID: 1234567890
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://fgb45ft3pqamyji7.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу. Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать детали / задать вопросы в чате:
xxxxs://fgb45ft3pqamyji7.onion.to (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (не нужен Tor)
Ваш ID: 1234567890
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://fgb45ft3pqamyji7.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится.
Если у вас возникли проблемы с установкой или использованием, посетите видео-урок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
На момент публикации сайты вымогателей не открывались.
Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы): Windows, Program Files и %UserProfile%
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
-DECRYPT-MY-FILES.txt
svchost.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Известные email вымогателей:
d.fedor2@aol.com
mk.baraka@aol.com
mk_rain@aol.com
mk.kabal@aol.com
mk.smoke@aol.com
mk.kunglao@aol.com
don-corleone@mortalkombat.su
liukang@mortalkombat.su
yotabyte@protonmail.com
m.reptile@aol.com
m.subzero@aol.com
и другие
Известные сайты вымогателей:
fgb45ft3pqamyji7.onion
gebdp3k7bolalnd4.onion
2irbar3mjvbap6gt.onion.to
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Файлы, зашифрованные Cry36, возможно, не будут расшифрованы дешифровщиком от Emsisoft, предназначенным для Cry128, т.к. ключ генерируется безопасным способом, который не может быть взломан.
Обновление от 5 июля 2017:
Расширение: .4x82n
Пример составного расширения: .id_2314357193_[pay@cyberdude.com].4x82n
Email: pay@cyberdude.com
Обновление от 14 июня 2018:
Пост на форуме >>
Расширение: .nem3end
Записка: #DECRYPT_MY_FILES#.txt
Email: karnel.fikol@aol.com
URL: xxxx://wolahedbune.com/lolo/index_shell.php
Файлы: lock.exe (lock.exe.bat)
Результаты анализов: VT + HA
➤ Содержание записки:
[ALL YOUR IMPORTANT FILES ARE ENCRYPTED] ***
Your documents, photos, databases and other important have been encrypted!
To decrypt your files you need to buy the special software - «Nemesis decryptor».
To obtain decryptor, please contact me by email: karnel.fikol@aol.com
Your personal ID: 2219482***
Обновление от 8 февраля 2019:
Пост на форуме >>
Расширение: .nemesis
Записка: ### DECRYPT MY FILES ###.txt
Email: sanio.marino@aol.com
➤ Содержание записки:
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: sanio.marino@aol.com
Your personal ID: 14790*****
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов некоторых вариантов есть дешифровщик
Скачать RakhniDecryptor для дешифровки >>
Если не помогло, пишите на partner.support@kaspersky.com
***
Attention!
For files, which encrypted with some variants Cry36, have a free RakhniDecryptor.
You can free download RakhniDecryptor to decrypt your files by the link >>
If the RakhniDecryptor did not help, write to email partner.support@kaspersky.com
Read to links:
Tweet on Twitter
ID Ransomware (ID as Cry36)
Write-up, Topic of Support
*
Thanks:
Fabian Wosar
Michael Gillespie
Andrew Ivanov
KasperskyLab
© Amigo-A (Andrew Ivanov): All blog articles.
