CryptoJoker (КриптоДжокер): Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 12 янв 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель CryptoJoker (КриптоДжокер)

    Перевод выполнен SNS-amigo специально для данного раздела. Любое цитирование или копирование любой его части допускается только с разрешения автора-переводчика.

    Группа исследователей MalwareHunterTeam недавно обнаружила новую угрозу безопасности, RansomWare под названием CryptoJoker (КриптоДжокер).

    Распространение данного вымогательского ПО пока еще не отличается широким размахом, но уже можно предположить, что CryptoJoker в скором времени может добавить себе "популярности".

    Установщик CryptoJoker маскируется под PDF-файл и распространяется по электронной почте в результате фишинг-кампаний. После того, как установщик запустится на выполнение, то будет докачано и сгенерировано нужное количество исполняемых файлов в %Temp% папке и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

    Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями. К каждому зашифрованному файлу он добавляет расширение .crjoker. Например, пользовательский файл dog.jpg станет файлом Dog.jpg.crjoker.

    Список расширений, являющихся целями для CryptoJoker:
    .txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

    Зашифровав данные с помощью AES-256 шифрования, CryptoJoker требует выкуп в биткоинах за возврат файлов в прежнее состояние.

    Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный в server6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

    Код, используемый для отправки такой информации приведен ниже.
    [​IMG]

    В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы. Т.е. метод, который можно было использовать для восстановления файлов, зашифрованных вымогателем LowLevel04, уже не сработает.

    С помощью этого пакетного файла выполняются следующие команды:
    Код (Text):
    vssadmin.exe Delete Shadows /All /Quiet
    bcdedit.exe /set {default} recoveryenabled No
    bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
    vssadmin.exe delete shadows /all /quiet
    Вымогательское окно отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций.
    При отправке электронной почты пострадавшая сторона должна скопировать RSA-шифрованную строку текста, который отображается в этом окне, а также имеется в файле в файле README !!!.TXT в %Temp%.

    [​IMG]

    Окно с требованием выкупа будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe.

    Пока нет бесплатных способов расшифровки файлов, зашифрованных CryptoJoker. Если он "выпадет в тираж", можно будет вплотную заняться поиском методов восстановления зашифрованных файлов.

    Файлы связанные с CryptoJoker
    Код (Text):
    %Temp%\crjoker.html
    %Temp%\drvpci.exe
    %Temp%\GetYouFiles.txt
    %Temp%\imgdesktop.exe
    %Temp%\new.bat
    %Temp%\README!!!.txt
    %Temp%\sdajfhdfkj
    %Temp%\windefrag.exe
    %Temp%\windrv.exe
    %Temp%\winpnp.exe
    %AppData%\dbddbccdf.exe
    %AppData%\README!!!.txt22

    Записи реестра связанные с CryptoJoker
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe
     

     
    lilia-5-0, -SEM-, Охотник и 2 другим нравится это.

Поделиться этой страницей