CrypMIC: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 21 июл 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CrypMIC подражает CryptXXX

    Новый шифровальщик CrypMIC подражает в том, что касается предупреждений о выкупе и сайта оплаты, своему предшественнику CryptXXX. Оба вымогателя требуют одинаковые суммы за восстановление контента – от 1,2 до 2,4 биткойнов. Способ оплаты у обоих: Bitcoins, сеть Tor.

    20160718crypmiccryptxxx08.png

    Рис.1. Слева Tor-сайт CrypMIC, справа - CryptXXX

    CrypMIC был замечен две недели назад исследователями из компании Trend Micro. По их словам, у двух семейств наблюдаются и другие схожие черты. Например, оба вымогателя используют одно и то же имя для функции экспорта (MS1, MS2) и собственный протокол для связи с C&C-сервером через TCP-порт 443.

    В ходе более подробного анализа эксперты выявили различия в кодах и функционале CrypMIC и CryptXXX. В частности, CrypMIC не добавляет никакого расширения к файлам, что усложняет выявление зашифрованного контента. Кроме того, вымогатели используют различные компиляторы и методы обфускации. Также CrypMIC определяет наличие виртуальной машины и отправляет информацию на C&C-сервер злоумышленников.

    20160718crypmiccryptxxx07.png
    Рис.2. Слева требования CrypMIC, справа - CryptXXX

    CrypMIC использует алгоритм AES-256 (но грозит в записке о выкупе алгоритмом RSA-4096), способен шифровать 901 тип файлов и не прописывается в автозагрузку системы. Зато может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

    CrypMIC, как и CryptXXX, использует для распространения те же методы, в частности, набор эксплоитов Neutrino.

    Записки о выкупе в трех вариантах: README.TXT, README.html, README.BMP.

    CrypMIC представляет особую опасность для организаций, поскольку может шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Но он не способен похищать учетные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX.

     
    Охотник, Kиpилл и thyrex нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CrypMIC: Дополнение

    Содержание текстовых записок о выкупе у CrypMIC и CryptXXX практически идентично.
    cryptmic-text-ransom-notes.png cryptxxx-text-ransom-notes.png
    Рис.3. Слева требования CrypMIC в txt-файле, справа - CryptXXX

    Основным отличием является указанный персональный идентификатор.
    У CryptXXX персональный идентификатор имеет 12 шестнадцатеричных символов, например, 1A1B1C1D1B1D.
    А у CrypMIC в идентификаторе используются 4 группы 8 шестнадцатеричных символов, разделенных двоеточиями, например, 1A1B1C1D: 1A1C1D1F: 1A1B1C1D: 1A1C1B1E.


    Все остальные сходства и отличия были уже описаны выше в первом посте от 22 июля.
     
    Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CrypMIC через EK RIG

    CrypMIC стал распространяться с помощью набора эксплойтов RIG, который входит в пятерку активно используемых наборов эксплойтов, наряду с Neutrino, Magnitude, Sundown и малоизвестным Hunter.

    На легитимных сайтах методом внедрения скрипта размещается набор эксплоитов RIG, который используется для заражения систем посетителей сайта CrypMIC Ransomware. Инфицирование происходит путем эксплуатации уязвимостей в плагине Adobe Flash Player.

    Эксплоит CrypMIC сбрасывается во временную папку под произвольным имененем. Файл запускается с правами текущего пользователя (например, администратора) и сразу е связывается со своим C&C-сервером через TCP-порт 443.

    Новый детект на сайте VIrusTotal >>>
     
    Охотник нравится это.

Поделиться этой страницей