• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

CryptMix: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель CryptMix

Обнаружен новый криптовымогатель CryptMix (CryptoMix), требующий выкуп, который обещает отдать на благотворительность. Разные исследователи обнаружили образцы вредоноса в разное время, одни анализировали его в прошлом месяце, а другие всего лишь неделю назад. По некоторым данным этот криптовымогатель представляет собой мешанину (mix) из других к/в CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. Потому и получил название CryptMix (CryptoMix). Выкуп оценивается вымогателями в 5 Bitcoin (~ $ 2200), а чтобы как-то оправдать столь завышенную сумму, они придумали сказку о том, что деньги пойдут на благотворительность.

Проникновение происходит через спам, содержащий ссылки на вредоносные веб-сайты, зараженные набором эксплойтов, которые используют уязвимости в браузерах пользователей и их плагинов для доставки и установки CryptMix. Попав на ПК жертвы, CryptMix автоматически запускает сканирование и поиск 862 различных типов файлов.

cryptomix.png


CryptMix шифрует файлы, используя алгоритм шифрования RSA-2048 и добавляет расширение .code каждому из них, используя шаблон:
(FILE_NAME.EXTENSION).id_(ID_MACHINE)_email_xoomx@dr.com_.code

Пример имени зашифрованного файла:
photo.jpg.id_4cef26603863_email_xoomx@dr.com_.code

После завершения процесса шифрования, CryptMix размешает записку с требованием выкупа, заимствуя HTML-записку у к/в CryptXXX, а TXT-записку — у CryptoWall.

cryptomix-r1.png cryptomix-r2.png

Не буду переводить весь текст записки. Изложу лишь основную информацию, т.к. она отличается от вымогательских записок других криптовымогателей.
Вымогатели, назвавшиеся Charity Team, предлагают вместе с уникальным ключом защиту ПК и бесплатную техническую поддержку для решения любых проблем с ПК в течение 3 лет.
Также говорят, что деньги будут потрачены на благотворительность, некие дети получат подарки и медицинскую помощь, а имя заплатившего 5 биткоинов будет в этом благотворительном списке. Через 24 часа сумма выкупа удвоится.

Email вымогателей, упомянутые в записках:
xoomx@dr.com и xoomx@usa.com

Записки с требованием выкупа помещаются во всех системных файлах:
HELP_YOUR_FILES.html — взято от CryptXXX
HELP_YOUR_FILES.txt — взято от Cryptowall 4.0

Копия исходного файла имеет в названии идентификатор инфицированного ПК:
C:\Users\pc\AppData\Roaming\AdobeFlashPlayer_4cef26603863.exe (AdobeFlashPlayer_(MACHINE_ID).exe)

Используются и модифицируются следующие ключи реестра:
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader UpdateSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Adobe Reader Update32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AdobeFlashPlayerSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*AdobeFlashPlayers32
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeFirstVersionSoftWare
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeLicensionSoftWare

cryptomix-r6.png


Список расширений, подвергающихся шифрованию CryptMix Ransomware:
0.0, 0.1, 1st Arrondissement, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .4db, .73i, .7z, .9png, .a3d, .abm, .abs, .abw , .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af3, .aft, .afx, AGIF, .agp, ai,. ACI, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .ar, .arc, .art, .artwork, .arw, .as, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asw, .asx, .asy, .at, .aty, .avatar, .awdb, .awp , .awt, .aww, .azz, .ba, .backup, .Bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bik, .blend,. blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .byu, .bz, .bza, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz , .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .CF, .cfg, .cfu, .cgm, .chart, .chord, .cin, .cit, .ckp, .class,. clkw, .cma, .cmx, .cnm, .cnv, .cp, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .csv, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf , .daschema, .dat, .db, .db-shm, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb , .dcs, .dct, .dcx, .dd, .ddl, .ddoc, .dds, .ded, .Design, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dicom,. diz, .djv, .djvu, .dm3, .dmo, .dmp, .dnc, .dne, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dts, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dxb , .dxf, .ecw, .ecx, EDB, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .EP, .epf, .epp,. eps, .epsf, .eql, .erf, err, .etf, .euc, .exr, .f, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi , .fic, .fid, .fif, .fig, .fil, .flac, .fli, .fodt, .fol, .Fountain, .fp3, .fp4, .fp5, .fp7, .fpt, .fpx,. FT7, .ft8, .ft9, .ftn, .fwdn, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .save, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gim, .gio, .gl, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grs, .gsd, .gthr, .gtp, .gv, .gwi , .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .HPP, .hs, .htm, .html. HWP, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .igt, .igx, .ihx, .iiq, .imd, .indd, .info, .ink, .int, .ipx, .it, .itc2, .itdb, Important note, .iwi, .j, .j2c, .j2k, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr , .jis, .jng, .joe, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .js, .jtx, .jxr, .kdb, .kdc, .kdi,. KDK, .key, .kic, .knt, .kon, .kpg, .kwd, .latex, .lay, .layout, .lbm, .lbt, .lgc, .lit, .ljp, .log, .ltr, .ltx, .lue, .lws, .Listen, .lyx, .m3d, .m3u, .m4v, .ma, .mac, .maf, .man, .map, .maq, .mat, .max, .mb , .mbm, .mbox, .md5, .mdb, .mdf, .mdn, .mdt, .me, .mft, .mgcb, .mgmx, .mgt, .min, .mkv, .mmat, .mng,. mnt, .mob, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nwctxt, .nyf , .nzb, .obj, .oc3, .oc4, .oc5, .oce, .ocr, .odb, .odo, .ods, .odt, .of, .oft, .openbsd, .oplc, .oqy,. ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ow, .owc, .owg, .oyx, .oz, .ozb, .ozj, .p7s, .p96, .p97, .pages, .pal, .pano, .pap, .pas, .pbm, .pc3, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm , .pdn, .pe4, .pf, .pfd, .pff, .pfs, .pfx .pgf, .pgm, .phm, .php, .pi3, .pic, .pict, .pix, .pjpeg,. pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .pps, .ppt, .pptm, .pptx, .prw, .ps, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .PtG, .pth, .ptx, .pu , .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdl, .qmg,. qpx, .qvd, .r3d, .ra, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .readme, .rgb, .rib, .ris, .RL, .rle, .rli, .rm, .rp, .rpd, .rpt, .RS, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .run, .rw2 , .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .Sam, .SAV, .save, .sbf, .scad, .scc, .sci, .scm,. scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .SIG, .sk2, .skcard, .SKM, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smi, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa , .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, ssa, .ssk, .St,. ste, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sumo, .sva, .svf, .svg, .SVGZ, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tar, .tb0, .tbn, .tcx, .tdf, .tdt, .teacher, .tex, .text, .tfc, .tg, .tg4, .tga , .thm, .thp, .thumb, .tif, .tiff, .tM, .tm2, .tmd, .tmp, .tmv, .tmx, .to, .TP, .tpc, .tpi, .trelby,. trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .uga, .unauth, .unity, .unx, .UPD, .usertile-ms, .usr, .utf8, .utxt,. v12, .vault, .vb, .vbr, .vc, .vct, .vda, .vdb, .vec, .vml, .vnt, .vpd, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vw, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp , .WGZ, .wire, .wm, .wma, .wmd, .wmf, .wmv, .WN, .wot, .WP, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb,. wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp , .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Детект и гибридный анализ вредоноса см. на VirusTotal и Hybrid Analysis
https://www.virustotal.com/ru/file/...90434a872b3d4fa56d5ebc2655473733aef/analysis/
https://www.hybrid-analysis.com/sam...872b3d4fa56d5ebc2655473733aef?environmentId=4

Данные о зашифрованных файлах отправляются на C&C-сервер, расположенный на IP-адресах, приписанных к Украине. Ключи шифрования управляются и сохраняются с помощью компонента ola.php. Маршруты хранятся и управляются с помощью компонента d1.php со следующей структурой: /fs/l/d1.php?id=(ID_MAQUINA)&log=(PATH_TO_FILE). Первая жертва шифровальщика отмечена 24 апреля.

 
Назад
Сверху Снизу