CryptoHost: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 8 апр 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель CryptoHost: Файлы спрятаны в архив

    Обнаружен новый вымогатель под названием CryptoHost, который заявляет, что данные зашифрованы, а затем требует выкуп 0.33 Bitcoins или около 140 долларов США, чтобы получить файлы обратно. В реальности данные не шифруются, а копируются в защищенный паролем RAR-архив. К счастью, пароль легко обнаруживается, таким образом пострадавшие могут получить свои файлы обратно. Эта инфекция в настоящее время определяется как Ransom:MSIL/Manamecrypt.A [Microsoft] или Ransom_CRYPTOHOST.A. [Trend Micro]

    cryptohost.png

    Когда CryptoHost заражает систему пользователя, он перемещает его файлы в защищенный паролем RAR-архив, который находится в C:\Users\[username]\AppData\Roaming folder.

    Этот файл получает имя из 41 символа и без расширения. Пример файла — 3854DE6500C05ADAA539579617EA3725BAAE2C57Test. Паролем для этого архива является имя архива в сочетании с именем пользователя. Так, например, если имя пользователя Test и RAR-архив находится в C:\Users\Test\AppData\Roaming\3854DE6500C05ADAA539579617EA3725BAAE2C57, то пароль будет 3854DE6500C05ADAA539579617EA3725BAAE2C57Test.

    CryptoHost пытается зашифровать следующие типы файлов:
    .jpg, .jpeg, .png, .gif, .psd, .ppd, .tiff, .flv, .avi, .mov, .qt, .wmv, .rm, .asf, .mp4, .mpg, .mpeg, .m4v, .3gp, .3g2, .pdf, .docx, .pptx, .doc, .7z, .zip, .txt, .ppt, .pps, .wpd, .wps, .xlr, .xls, .xlsl

    Лоуренс Адамс рекомендует использовать следующий генератор паролей. Но для начала надо завершить активный процесс cryptohost.exe.

    Запустите диспетчер задач комбинацией клавиш Ctrl+Alt+Del, на вкладке "Процессы" выберите и завершите процесс cryptohost.exe

    Надеюсь, как извлечь файл из архива, рассказывать не надо. Для этого у вас уже должен быть установлен один из архиваторов, например, 7-zip или Bandizip (оба бесплатные). Разархивируйте "зашифрованный" архив в папку с таким же названием и на запрос о пароле введите добытый выше ваш персональный пароль. Ваши файлы будут распакованы и восстановлены. Дальше можете поступать с ними как вам угодно.

    Опускаем процесс вымогания биткоинов и последующей "дешифровки" для эстетов и вернёмся к деталям вредоноса.

    При первом запуске CryptoHost пытается удалить раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot , чтобы не дать пользователю загрузить систему в Safe Mode. К счастью, процесс cryptohost.exe не работает под требуемыми привилегиями, которые нужны, чтобы удалить этот ключ.

    CryptoHost также будет следить за названиями рабочих процессов и установленных в системе антивирусных программ. Список названий и строк, которые отслеживаются вредоносом:
    Файлы связанные с CryptoHost Ransomware:
    Код (Text):
    %Temp%\uTorrent.exeuTorrent.exe
    %AppData%\cryptohost.exe
    %AppData%\files
    %AppData%\processor.exe
    Записи реестра связанные с CryptoHost Ransomware:
    Код (Text):
    HKCU\Software\Classes\FalconBetaAccount
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software    %AppData%\cryptohost.exe
    Как удалить CryptoHost Ransomware?
    При установке CryptoHost создаёт файл с именем cryptohost.exe и хранит его в C:\Users\[username]\AppData\Roaming folder. Он также прописывается в Автозагрузку и выполняется при входе пользователя в систему.
    1. Чтобы удалить эту инфекцию нужно сначала завершить процесс cryptohost.exe с помощью диспетчера задач, а затем удалить сам файл cryptohost.exe.
    2. Чтобы удалить cryptohost из Автозагрузки, нужно удалить раздел реестра:
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software    %AppData%\cryptohost.exe
    3. Если вы не хотите удалять CryptoHost вручную, то, вообще-то, большинство антивирусных программ сами должны обнаружить эту инфекцию в этой точке системы и удалить автоматически. :Girl Hospital:

     
    lilia-5-0, Охотник и Theriollaria нравится это.

Поделиться этой страницей