• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

CryLocker: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Как и всегда в таких случаях, трудно обеспечить какое-то одно общее имя для вредоносов, которые сами его не назвали. Потому для этой статьи и темы мы будем придерживаться следующих названий: Central Security Treatment Organization Ransomware (кратко: Central Security или CSTO Ransomware) или Cry Ransomware, или CryLocker.

Кратко о функционале Central Security:
CSTO имеет некоторые интересные характеристики, которых обычно нет или редко имеются у других вымогателей, например:
- передаёт информацию о жертве на C&C-сервер с использованием UDP (ранее так было только у Cerber);
- использует общественные места (Imgur.com и Pastee.org) для размещения информации о каждой жертве;
- опрашивает Google Maps API для определения местонахождение жертвы по ближайшим SSID Wi-Fi сетей.
 
Последнее редактирование модератором:
Подробно о функционале Central Security

Когда ПК жертвы заражен, криптовымогатель Central Security собирает разную информацию, например, версию Windows, разрядность, пакет обновления, имя пользователя, имя ПК и тип его процессора. Эта инфа отправляется через UDP на 4096 различных IP-адресов, один из которых это C&C-сервер вымогателей. Использование UDP-пакетов, вероятно, делается для запутывания расположение командного сервера, чтобы власти не могли его захватить.

CSTO будет загружать ту же информацию, а также список зашифрованных файлов на Imgur.com. Это делается путём сбора всей инфы в поддельный PNG-файл и загрузки его в назначенный альбом в Imgur. После успешной загрузки Imgur даст файлу уникальным имя. Оно будет транслироваться через UDP на 4096 IP-адресов, уведомляя C&C-сервер, что инфицирована новая жертва.
udp-traffic.png
С помощью Google Maps API можно узнать местонахождение устройства, опросив по SSID ближайшие Wi-Fi сети. Вымогатель CSTO использует функцию WlanGetNetworkBssList, чтобы получить список ближайших беспроводных сетей и их SSID-ов. Без уверенности о использовании жертвой этих точек с помощью Google Maps создаётся точный снимок её местонахождения. Затем вымогатели могут использовать эти данные, чтобы напугать жертву "своим могуществом" и заставить заплатить выкуп.

Инфицировав компьютер CSTO делает резервную копию ярлыков с рабочего стола и сохраняет их там же в папку "old_shortcuts". Цель этой операции пока неясна. К зашифрованным файлам добавляется расширение .cry.
Сумма выкупа может быть различной. Через 100 часов без уплаты выкупа его сумма удвоится.

Мишенью этого вымогателя являются следующие расширения:
target_ext.png

CSTO удаляет тома теневых копии с помощью команды: vssadmin delete shadows /all /quiet
Для закрепления в системе создаёт задание со случайным именем, которое будет запускаться при входе пользователя в Windows.
scheduled-task2.png
Затем на рабочем столе создаются записки о выкупе с названиями: ! Recovery_ [random_chars].html и ! Recovery_ [random_chars].txt
Они содержат ID номер и инструкции о том, как получить доступ к TOR-сайту оплаты.

Там же указаны ссылки на сайт оплаты, где требуется ввод персонального кода для входа в пользовательский кабинет. Кроме того: сумма выкупа, которую жертва должна заплатить, Bitcoin-адрес для платежа, есть страница поддержки, которую можно использовать для общения с вымогателями. Можно перетащить в окно и бесплатно дешифровать один файл, чтобы проверить возможность дешифровки файлов. Результатов дешифровки лучше подождать. При неудачном исходе пострадавшей стороне следует задуматься о бесполезности выкупа.

Файлы, связанные с CSTO:
%UserProfile%\AppData\Local\Temp\[random_chars].exe
%UserProfile%\AppData\Local\Temp\[random_chars].tmp
%UserProfile%\AppData\Local\Temp\[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].txt
%UserProfile%\Desktop\old_shortcuts\
C:\Windows\System32\Tasks\[random_chars]

Записи реестра, связанные с CSTO:
HKCU\Software\[same_name_as_executable]

Этот вымогатель до сих пор анализируются и вполне может оказаться, что он дешифруем.
Таким образом, пострадавшие от этого вымогателя, следите за обновлениями этого топика.
Источник информации: Шифровальщик-вымогатель Cry Ransomware

Дополнительную информацию предоставлю попозже.
 
Последнее редактирование:
На днях был обнаружен скринлок у этого криптовымогателя. На скринлоке значилось название, данное ему его создателями-вымогателями.
crylocker.jpg
Это название CryLocker. Но за неделю исследований криптовымогатель уже успел обзавестить псевдонимами, которые мы перечислили в первом абзаце головного поста: Central Security Treatment Organization, Central Security Ransomware, CSTO Ransomware, Cry и Cry Ransomware.

Потому пришлось исправлять название темы и идентификацию.
 
Последнее редактирование:
Назад
Сверху Снизу