CryptMix: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 5 май 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель CryptMix

    Обнаружен новый криптовымогатель CryptMix (CryptoMix), требующий выкуп, который обещает отдать на благотворительность. Разные исследователи обнаружили образцы вредоноса в разное время, одни анализировали его в прошлом месяце, а другие всего лишь неделю назад. По некоторым данным этот криптовымогатель представляет собой мешанину (mix) из других к/в CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. Потому и получил название CryptMix (CryptoMix). Выкуп оценивается вымогателями в 5 Bitcoin (~ $ 2200), а чтобы как-то оправдать столь завышенную сумму, они придумали сказку о том, что деньги пойдут на благотворительность.

    Проникновение происходит через спам, содержащий ссылки на вредоносные веб-сайты, зараженные набором эксплойтов, которые используют уязвимости в браузерах пользователей и их плагинов для доставки и установки CryptMix. Попав на ПК жертвы, CryptMix автоматически запускает сканирование и поиск 862 различных типов файлов.

    cryptomix.png

    CryptMix шифрует файлы, используя алгоритм шифрования RSA-2048 и добавляет расширение .code каждому из них, используя шаблон:
    (FILE_NAME.EXTENSION).id_(ID_MACHINE)_email_xoomx@dr.com_.code

    Пример имени зашифрованного файла:
    photo.jpg.id_4cef26603863_email_xoomx@dr.com_.code

    После завершения процесса шифрования, CryptMix размешает записку с требованием выкупа, заимствуя HTML-записку у к/в CryptXXX, а TXT-записку — у CryptoWall.

    cryptomix-r1.png cryptomix-r2.png

    Не буду переводить весь текст записки. Изложу лишь основную информацию, т.к. она отличается от вымогательских записок других криптовымогателей.
    Вымогатели, назвавшиеся Charity Team, предлагают вместе с уникальным ключом защиту ПК и бесплатную техническую поддержку для решения любых проблем с ПК в течение 3 лет.
    Также говорят, что деньги будут потрачены на благотворительность, некие дети получат подарки и медицинскую помощь, а имя заплатившего 5 биткоинов будет в этом благотворительном списке. Через 24 часа сумма выкупа удвоится.

    Email вымогателей, упомянутые в записках:
    xoomx@dr.com и xoomx@usa.com

    Записки с требованием выкупа помещаются во всех системных файлах:
    HELP_YOUR_FILES.html — взято от CryptXXX
    HELP_YOUR_FILES.txt — взято от Cryptowall 4.0

    Копия исходного файла имеет в названии идентификатор инфицированного ПК:
    C:\Users\pc\AppData\Roaming\AdobeFlashPlayer_4cef26603863.exe (AdobeFlashPlayer_(MACHINE_ID).exe)

    Используются и модифицируются следующие ключи реестра:
    cryptomix-r6.png

    Список расширений, подвергающихся шифрованию CryptMix Ransomware:
    0.0, 0.1, 1st Arrondissement, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .4db, .73i, .7z, .9png, .a3d, .abm, .abs, .abw , .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af3, .aft, .afx, AGIF, .agp, ai,. ACI, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .ar, .arc, .art, .artwork, .arw, .as, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asw, .asx, .asy, .at, .aty, .avatar, .awdb, .awp , .awt, .aww, .azz, .ba, .backup, .Bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bik, .blend,. blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .byu, .bz, .bza, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz , .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .CF, .cfg, .cfu, .cgm, .chart, .chord, .cin, .cit, .ckp, .class,. clkw, .cma, .cmx, .cnm, .cnv, .cp, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .csv, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf , .daschema, .dat, .db, .db-shm, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb , .dcs, .dct, .dcx, .dd, .ddl, .ddoc, .dds, .ded, .Design, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dicom,. diz, .djv, .djvu, .dm3, .dmo, .dmp, .dnc, .dne, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dts, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dxb , .dxf, .ecw, .ecx, EDB, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .EP, .epf, .epp,. eps, .epsf, .eql, .erf, err, .etf, .euc, .exr, .f, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi , .fic, .fid, .fif, .fig, .fil, .flac, .fli, .fodt, .fol, .Fountain, .fp3, .fp4, .fp5, .fp7, .fpt, .fpx,. FT7, .ft8, .ft9, .ftn, .fwdn, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .save, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gim, .gio, .gl, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grs, .gsd, .gthr, .gtp, .gv, .gwi , .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .HPP, .hs, .htm, .html. HWP, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .igt, .igx, .ihx, .iiq, .imd, .indd, .info, .ink, .int, .ipx, .it, .itc2, .itdb, Important note, .iwi, .j, .j2c, .j2k, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr , .jis, .jng, .joe, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .js, .jtx, .jxr, .kdb, .kdc, .kdi,. KDK, .key, .kic, .knt, .kon, .kpg, .kwd, .latex, .lay, .layout, .lbm, .lbt, .lgc, .lit, .ljp, .log, .ltr, .ltx, .lue, .lws, .Listen, .lyx, .m3d, .m3u, .m4v, .ma, .mac, .maf, .man, .map, .maq, .mat, .max, .mb , .mbm, .mbox, .md5, .mdb, .mdf, .mdn, .mdt, .me, .mft, .mgcb, .mgmx, .mgt, .min, .mkv, .mmat, .mng,. mnt, .mob, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nwctxt, .nyf , .nzb, .obj, .oc3, .oc4, .oc5, .oce, .ocr, .odb, .odo, .ods, .odt, .of, .oft, .openbsd, .oplc, .oqy,. ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ow, .owc, .owg, .oyx, .oz, .ozb, .ozj, .p7s, .p96, .p97, .pages, .pal, .pano, .pap, .pas, .pbm, .pc3, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm , .pdn, .pe4, .pf, .pfd, .pff, .pfs, .pfx .pgf, .pgm, .phm, .php, .pi3, .pic, .pict, .pix, .pjpeg,. pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .pps, .ppt, .pptm, .pptx, .prw, .ps, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .PtG, .pth, .ptx, .pu , .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdl, .qmg,. qpx, .qvd, .r3d, .ra, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .readme, .rgb, .rib, .ris, .RL, .rle, .rli, .rm, .rp, .rpd, .rpt, .RS, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .run, .rw2 , .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .Sam, .SAV, .save, .sbf, .scad, .scc, .sci, .scm,. scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .SIG, .sk2, .skcard, .SKM, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smi, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa , .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, ssa, .ssk, .St,. ste, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sumo, .sva, .svf, .svg, .SVGZ, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tar, .tb0, .tbn, .tcx, .tdf, .tdt, .teacher, .tex, .text, .tfc, .tg, .tg4, .tga , .thm, .thp, .thumb, .tif, .tiff, .tM, .tm2, .tmd, .tmp, .tmv, .tmx, .to, .TP, .tpc, .tpi, .trelby,. trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .uga, .unauth, .unity, .unx, .UPD, .usertile-ms, .usr, .utf8, .utxt,. v12, .vault, .vb, .vbr, .vc, .vct, .vda, .vdb, .vec, .vml, .vnt, .vpd, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vw, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .WGZ, .wire, .wm, .wma, .wmd, .wmf, .wmv, .WN, .wot, .WP, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb,. wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

    Детект и гибридный анализ вредоноса см. на VirusTotal и Hybrid Analysis
    https://www.virustotal.com/ru/file/...90434a872b3d4fa56d5ebc2655473733aef/analysis/
    https://www.hybrid-analysis.com/sam...872b3d4fa56d5ebc2655473733aef?environmentId=4

    Данные о зашифрованных файлах отправляются на C&C-сервер, расположенный на IP-адресах, приписанных к Украине. Ключи шифрования управляются и сохраняются с помощью компонента ola.php. Маршруты хранятся и управляются с помощью компонента d1.php со следующей структурой: /fs/l/d1.php?id=(ID_MAQUINA)&log=(PATH_TO_FILE). Первая жертва шифровальщика отмечена 24 апреля.

     
    Охотник и orderman нравится это.

Поделиться этой страницей