CryLocker: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 6 сен 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Как и всегда в таких случаях, трудно обеспечить какое-то одно общее имя для вредоносов, которые сами его не назвали. Потому для этой статьи и темы мы будем придерживаться следующих названий: Central Security Treatment Organization Ransomware (кратко: Central Security или CSTO Ransomware) или Cry Ransomware, или CryLocker.

    Кратко о функционале Central Security:
    CSTO имеет некоторые интересные характеристики, которых обычно нет или редко имеются у других вымогателей, например:
    - передаёт информацию о жертве на C&C-сервер с использованием UDP (ранее так было только у Cerber);
    - использует общественные места (Imgur.com и Pastee.org) для размещения информации о каждой жертве;
    - опрашивает Google Maps API для определения местонахождение жертвы по ближайшим SSID Wi-Fi сетей.
     
    Последнее редактирование модератором: 8 сен 2016
    Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Подробно о функционале Central Security

    Когда ПК жертвы заражен, криптовымогатель Central Security собирает разную информацию, например, версию Windows, разрядность, пакет обновления, имя пользователя, имя ПК и тип его процессора. Эта инфа отправляется через UDP на 4096 различных IP-адресов, один из которых это C&C-сервер вымогателей. Использование UDP-пакетов, вероятно, делается для запутывания расположение командного сервера, чтобы власти не могли его захватить.

    CSTO будет загружать ту же информацию, а также список зашифрованных файлов на Imgur.com. Это делается путём сбора всей инфы в поддельный PNG-файл и загрузки его в назначенный альбом в Imgur. После успешной загрузки Imgur даст файлу уникальным имя. Оно будет транслироваться через UDP на 4096 IP-адресов, уведомляя C&C-сервер, что инфицирована новая жертва.
    udp-traffic.png
    С помощью Google Maps API можно узнать местонахождение устройства, опросив по SSID ближайшие Wi-Fi сети. Вымогатель CSTO использует функцию WlanGetNetworkBssList, чтобы получить список ближайших беспроводных сетей и их SSID-ов. Без уверенности о использовании жертвой этих точек с помощью Google Maps создаётся точный снимок её местонахождения. Затем вымогатели могут использовать эти данные, чтобы напугать жертву "своим могуществом" и заставить заплатить выкуп.

    Инфицировав компьютер CSTO делает резервную копию ярлыков с рабочего стола и сохраняет их там же в папку "old_shortcuts". Цель этой операции пока неясна. К зашифрованным файлам добавляется расширение .cry.
    Сумма выкупа может быть различной. Через 100 часов без уплаты выкупа его сумма удвоится.

    Мишенью этого вымогателя являются следующие расширения:
    target_ext.png

    CSTO удаляет тома теневых копии с помощью команды: vssadmin delete shadows /all /quiet
    Для закрепления в системе создаёт задание со случайным именем, которое будет запускаться при входе пользователя в Windows.
    scheduled-task2.png
    Затем на рабочем столе создаются записки о выкупе с названиями: ! Recovery_ [random_chars].html и ! Recovery_ [random_chars].txt
    Они содержат ID номер и инструкции о том, как получить доступ к TOR-сайту оплаты.

    Там же указаны ссылки на сайт оплаты, где требуется ввод персонального кода для входа в пользовательский кабинет. Кроме того: сумма выкупа, которую жертва должна заплатить, Bitcoin-адрес для платежа, есть страница поддержки, которую можно использовать для общения с вымогателями. Можно перетащить в окно и бесплатно дешифровать один файл, чтобы проверить возможность дешифровки файлов. Результатов дешифровки лучше подождать. При неудачном исходе пострадавшей стороне следует задуматься о бесполезности выкупа.

    Файлы, связанные с CSTO:
    %UserProfile%\AppData\Local\Temp\[random_chars].exe
    %UserProfile%\AppData\Local\Temp\[random_chars].tmp
    %UserProfile%\AppData\Local\Temp\[random_chars].html
    %UserProfile%\Desktop\!Recovery_[random_chars].html
    %UserProfile%\Desktop\!Recovery_[random_chars].txt
    %UserProfile%\Desktop\old_shortcuts\
    C:\Windows\System32\Tasks\[random_chars]

    Записи реестра, связанные с CSTO:
    HKCU\Software\[same_name_as_executable]

    Этот вымогатель до сих пор анализируются и вполне может оказаться, что он дешифруем.
    Таким образом, пострадавшие от этого вымогателя, следите за обновлениями этого топика.
    Источник информации: Шифровальщик-вымогатель Cry Ransomware

    Дополнительную информацию предоставлю попозже.
     
    Последнее редактирование: 6 сен 2016
    Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    На днях был обнаружен скринлок у этого криптовымогателя. На скринлоке значилось название, данное ему его создателями-вымогателями.
    crylocker.jpg
    Это название CryLocker. Но за неделю исследований криптовымогатель уже успел обзавестить псевдонимами, которые мы перечислили в первом абзаце головного поста: Central Security Treatment Organization, Central Security Ransomware, CSTO Ransomware, Cry и Cry Ransomware.

    Потому пришлось исправлять название темы и идентификацию.
     
    Последнее редактирование: 11 сен 2016
    Охотник нравится это.

Поделиться этой страницей