CryptXXX: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 19 апр 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель CryptXXX: Нечист на руку

    Исследователи компании Proofpoint обнаружили новый вид вымогателя, под названием CryptXXX, с довольно интересным функционалом. Помимо шифрования файлов с использованием алгоритма RSA4096, CryptXXX способен похищать биткойны, пароли, учетные данные и другую важную информацию. За восстановление доступа к данным операторы вредоноса требуют выкуп в размере 1,2 BTC (приблизительно $515-520). Если выкуп не оплачен в течение определенного периода времени, он возрастает в два раза до 2,4 BTC. Если выкуп не уплачен в срок, закрытый ключ будет удален навсегда и тогда расшифровка файлов будет невозможна.

    15 апреля 2016 года, исследователи заметили, что Bedep загружает Angler EK и Dridex 222 (см. скриншот, крайнюю правую колонку). Стало ясно, что для распространения CryptXXX злоумышленники используют набор эксплойтов Angler, вредПО Bedep, загружающий других троянов на зараженные системы и инициирующий мошеннические клики.

    cryptxxx-fig-1.png

    Для сообщения жертве о том, что файлы зашифрованы, CryptXXX создает три типа файлов и помещает их в каждой папке, содержащей зашифрованные файлы. Содержание похоже на многие другие виды вымогательских записок (Locky, Teslacrypt и Cryptowall): de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html

    cryptxxx-fig-2.jpg cryptxxx-fig-4.jpg
    cryptxxx-fig-3.jpg

    Функции CryptXXX короткой строкой:
    CryptXXX проверяет имя процессора в системном реестре.
    Обладает функциями выявления виртуалки и анти-анализа.
    Устанавливает процедуру для мониторинга событий мыши.
    Шифрует файлы и добавляет расширение .crypt к имени файла.

    Помимо шифрования контента, CryptXXX собирает данные об установленных на компьютере приложениях для мгновенного обмена сообщениями, почтовых клиентах, FTP-менеджерах и браузерах. По словам экспертов Proofpoint, некоторые признаки указывают на то, что авторство CryptXXX принадлежит создателям Angler EK, вредоносного ПО Bedep и Reveton. Они также предполагает, то CryptXXX вскоре получит большее распространение.

    Подробности работы цепочки выкуп-дешифровка см. на сайте proofpoint.com


    Файлы, связанные с CryptXXX:
    Код (Text):
    de_crypt_readme.bmp
    de_crypt_readme.txt
    de_crypt_readme.html
    %AppData%\[id].dat
    %Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
    %Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
    %Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
    %Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

    Дешифровщик для зашифрованных файлов можно скачать по ссылке в посте:
    http://safezone.cc/threads/dajosh-deshifrovschik.26989/
     
    lilia-5-0, Охотник и orderman нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Создатели CryptXXX до(ш)кодились

    Как известно тем, кто еще не разучился читать, 21 мая разработчики CryptXXX Ransomware обновили своё детище до версии 3.0, чтобы сделать невозможным бесплатную расшифровку файлов утилитой RannohDecryptor.

    Исследователи программ-вымогателей получили у разработчиков-вымогателей ихний декриптор и попытались им расшифровать зашифрованные 3-й версией CryptXXX файлы. Эта попытка потерпела неудачу. Декритор выдал ошибку. :Sarcastic:

    decrypt-error.png

    Таким образом, всем, кто умудрился стать жертвой новой версии вымогателя, стоит подождать выхода новой версии декриптора от ЛК. Мы надеемся, что они выпустят правильный декриптор для дешифровки CryptXXX 3.0. :Biggrin:
     
    Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CryptXXX 3.1.0.0

    Новая версия 3.1.0.0 получила ряд новых особенностей. Опишем лишь те, что без сомнения заслуживают внимания.

    Теперь CryptXXX с особой целью сканирует порт 445, который используется для SMB (Server Message Block - сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия). Благодаря чему новый CryptXXX способен находить общие ресурсы в сети, получать список файлов в каждом общем каталоге и шифровать их один за другим.
    Получив список шифруемых файлов CryptXXX запрашивает основную информацию о файле, прочитывает через SMB файл и перезаписывает его зашифрованной версией.
    После того как файл будет перезаписан, CryptXXX 3.100 переименовывает зашифрованный файл, добавив к имени файла расширение .cryp1, тогда как, предыдущие версии CryptXXX использовали расширение .crypt. После того, как файл будет переименован, вредонос выполняет проверку наличия записки о выкупе для каждого зашифрованного файла, а не для каждой папки, как было ранее.

    Список файловых расширений, подвергающихся шифрованию:
    .3dm .3ds .3g2 .3gp .4db .4dl .4mp .a3d .abm .abs .abw .accdb .act .adn .adp .aes .af2 .af3 .aft .afx .agif .agp .ahd .aic .aif .aim .albm .alf .ani .ans .apd .apk .apm .apng .app .aps .apt .apx .arc .art .arw .asc .ase .asf .ask .asm .asp .aspx .asw .asx .asy .aty .avi .awdb .awp .awt .aww .azz .bad .bay .bbs .bdb .bdp .bdr .bean .bib .bm2 .bmp .bmx .bna .bnd .boc .bok .brd .brk .brn .brt .bss .btd .bti .btr .bz2 .c4d .cal .cals .can .cd5 .cdb .cdc .cdg .cdmm .cdmt .cdr .cdr3 .cdr4 .cdr6 .cdt .cer .cfg .cfm .cfu .cgi .cgm .cimg .cin .cit .ckp .class .clkw .cma .cmd .cmx .cnm .cnv .colz .cpc .cpd .cpg .cpp .cps .cpt .cpx .crd .crt .crwl .crypt .csr .css .csv .csy .cue .cv5 .cvg .cvi .cvs .cvx .cwt .cxf .cyi .dad .daf .db3 .dbf .dbk .dbt .dbv .dbx .dca .dcb .dch .dcs .dct .dcu .dcx .ddl .ddoc .dds .ded .df1 .dgn .dgs .dhs .dib .dif .dip .diz .djv .djvu .dm3 .dmi .dmo .dnc .dne .doc .docb .docm .docx .docz .dot .dotm .dotx .dp1 .dpp .dpx .dqy .drw .drz .dsk .dsn .dsv .dt2 .dta .dtd .dtsx .dtw .dvi .dvl .dwg .dxb .dxf .dxl .eco .ecw .ecx .edb .efd .egc .eio .eip .eit .emd .emf .eml .emlx .epf .epp .eps .epsf .eql .erf .err .etf .etx .euc .exr .fal .faq .fax .fb2 .fb3 .fbl .fbx .fcd .fcf .fdb .fdf .fdr .fds .fdt .fdx .fdxt .fes .fft .fh10 .fh11 .fh3 .fh4 .fh5 .fh6 .fh7 .fh8 .fic .fid .fif .fig .fil .fla .fli .flr .flv .fm5 .fmv .fodt .fol .fp3 .fp4 .fp5 .fp7 .fpos .fpt .fpx .frm .frt .ft10 .ft11 .ft7 .ft8 .ft9 .ftn .fwdn .fxc .fxg .fzb .fzv .gadget .gbk .gbr .gcdp .gdb .gdoc .ged .gem .geo .gfb .ggr .gif .gih .gim .gio .glox .gpd .gpg .gpn .gpx .gro .grob .grs .gsd .gthr .gtp .gwi .hbk .hdb .hdp .hdr .hht .his .hpg .hpgl .hpi .hpl .htc .htm .html .hwp .i3d .ibd .ibooks .icn .icon .idc .idea .idx .iff .igt .igx .ihx .iil .iiq .imd .indd .info .ini .ini0 .ini4 .ini8 .inid .inih .inil .inip .init .inix .ink .ipf .ipx .itdb .itw .iwi .j2c .j2k .jar .jas .java .jb2 .jbmp .jbr .jfif .jia .jis .jks .jng .joe .jp1 .jp2 .jpe .jpeg .jpg .jpg2 .jps .jpx .jrtf .jsp .jtx .jwl .jxr .kdb .kdbx .kdc .kdi .kdk .kes .key .kic .klg .kml .kmz .knt .kon .kpg .kwd .lay .lay6 .lbm .lbt .ldf .lgc .lis .lit .ljp .lmk .lnt .lp2 .lrc .lst .ltr .ltx .lua .lue .luf .lwo .lwp .lws .lyt .lyx .m3d .m3u .m4a .m4v .mac .man .map .maq .mat .max .mbm .mbox .mdb .mdf .mdn .mdt .mef .mell .mfd .mft .mgcb .mgmt .mgmx .mid .min .mkv .mmat .mml .mng .mnr .mnt .mobi .mos .mov .mp3 .mp4 .mpa .mpf .mpg .mpo .mrg .mrxs .ms11 .msg .msi .mt9 .mud .mwb .mwp .mxl .myd .myi .myl .ncr .nct .ndf .nef .nfo .njx .nlm .note .now .nrw .ns2 .ns3 .ns4 .nsf .nv2 .nyf .nzb .obj .oc3 .oc4 .oc5 .oce .oci .ocr .odb .odg .odm .odo .odp .ods .odt .ofl .oft .omf .oplc .oqy .ora .orf .ort .orx .ota .otg .oti .otp .ots .ott .ovp .ovr .owc .owg .oyx .ozb .ozj .ozt .p12 .p7s .p96 .p97 .pages .pal .pan .pano .pap .paq .pas .pbm .pc1 .pc2 .pc3 .pcd .pcs .pct .pcx .pdb .pdd .pdf .pdm .pdn .pds .pdt .pe4 .pef .pem .pff .pfi .pfs .pfv .pfx .pgf .pgm .phm .php .pi1 .pi2 .pi3 .pic .pict .pif .pix .pjpg .pjt .plt .plugin .pmg .png .pni .pnm .pntg .pnz .pop .pot .potm .potx .pp4 .pp5 .ppam .ppm .pps .ppsm .ppsx .ppt .pptm .pptx .prf .priv .private .prt .prw .psd .psdx .pse .psid .psp .pspimage .psw .ptg .pth .ptx .pvj .pvm .pvr .pwa .pwi .pwr .pxr .pz3 .pza .pzp .pzs .qcow2 .qdl .qmg .qpx .qry .qvd .rad .rar .ras .raw .rctd .rcu .rdb .rdds .rdl .rft .rgb .rgf .rib .ric .riff .ris .rix .rle .rli .rng .rpd .rpf .rpt .rri .rsb .rsd .rsr .rss .rst .rtd .rtf .rtx .run .rw2 .rwl .rzk .rzn .s2mv .s3m .saf .sai .sam .save .sbf .scad .scc .sch .sci .scm .sct .scv .scw .sdb .sdf .sdm .sdoc .sdw .sep .sfc .sfw .sgm .sig .sitx .sk1 .sk2 .skm .sla .sld .sldx .slk .sln .sls .smf .smil .sms .sob .spa .spe .sph .spj .spp .spq .spr .sqb .sql .sqlite3 .sqlitedb .sr2 .srt .srw .ssa .ssk .stc .std .ste .sti .stm .stn .stp .str .stw .sty .sub .sumo .sva .svf .svg .svgz .swf .sxc .sxd .sxg .sxi .sxm .sxw .t2b .tab .tar .tb0 .tbk .tbn .tcx .tdf .tdt .tex .text .tfc .tg4 .tga .tgz .thm .thp .tif .tiff .tjp .tlb .tlc .tm2 .tmd .tmp .tmv .tmx .tne .tpc .tpi .trm .tvj .txt .u3d .u3i .udb .ufo .ufr .uga .unx .uof .uop .uot .upd .usr .utf8 .utxt .v12 .vbr .vbs .vcf .vct .vcxproj .vda .vdb .vdi .vec .vff .vmdk .vml .vmx .vnt .vob .vpd .vpe .vrml .vrp .vsd .vsdm .vsdx .vsm .vst .vstx .vue .wav .wb1 .wbc .wbd .wbk .wbm .wbmp .wbz .wcf .wdb .wdp .webp .wgz .wire .wks .wma .wmdb .wmf .wmv .wp4 .wp5 .wp6 .wp7 .wpa .wpd .wpe .wpg .wpl .wps .wpt .wpw .wri .wsc .wsd .wsf .wsh .wtx .wvl .x3d .x3f .xar .xcodeproj .xdb .xdl .xhtm .xhtml .xlc .xld .xlf .xlgc .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xpm .xps .xwp .xy3 .xyp .xyw .yal .ybk .yml .ysp .yuv .z3d .zabw .zdb .zdc .zif .zip .zipx .zz3 (901 расширение).

    В версии 3.100 обновился экран блокировки и платежный портал, претерпевший ряд косметических обновлений.
    cryptxxx-3-1.png cryptxxx-3-1-pay1.png cryptxxx-3-1-pay2.png

    Среди нововведений есть также специальный модуль StillerX, который занимается хищением информации, с последующей её продажей насторону или использования в дальнейших целевых атаках, и может быть использован как самостоятельный инструмент, в том числе и в кампаниях по распространению другого вредоносного ПО.

    Неполный список данных, похищаемых StillerX:
    - данные из браузера (история, куки, сохраненные учетные данные)
    - учетные данные интернет-соединения;
    - менеджеры сохранения учетных данных;
    - учетные данные по электронной почты;
    - учетные данные для FTP;
    - учетные данные из IM;
    - учетные данные ПО Poker;
    - учетные данные прокси;
    - учетные данные программ удаленного администрирования;
    - учетные данные VPN;
    - кэшированные пароли WNetEnum;
    - данные Microsoft Credential Manager.

    История версий CryptXXX, по данным Proofpoint, выглядит следующим образом:
    1.001 - 16 апреля
    2.000 - 29 апреля
    2.006 - 9 мая
    2.007 - 11 мая
    3.000 - 16 мая
    3.002 - 24 мая
    3.100 - 26 мая

    Как видите, обновления CryptXXX выходили достаточно быстро, кардинально меняя вымогателя в течение одного месяца, и теперь, без нового инструмента дешифрования, усилия по защите пользователей и организаций должны быть направлены не только на выявление, но и на предупреждение данной угрозы.

     
  4. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Компания Dr.Web объявила, что может расшифровать файлы, зашифрованные CryptXXX

    Троянцы-энкодеры представляют серьезную опасность для пользователей по всему миру: эти вредоносные программы шифруют хранящуюся на компьютере информацию и требуют выкуп за ее расшифровку. На сегодняшний день известно множество разновидностей шифровальщиков. Антивирусная компания «Доктор Веб» давно и успешно борется с такими программами-вымогателями: в некоторых случаях зашифрованные троянцем файлы можно восстановить. Это касается и энкодера, известного под именем CryptXXX, — специалисты «Доктор Веб» могут расшифровать поврежденные этим троянцем файлы, если они были зашифрованы до начала июня 2016 года.

    Вредоносная программа Trojan.Encoder.4393, также известная под именем CryptXXX, является типичным представителем многочисленной группы троянцев-энкодеров. Этот шифровальщик имеет несколько версий и распространяется злоумышленниками по всему миру. С целью увеличить прибыль от своей незаконной деятельности вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям троянца. Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников. Зашифрованные троянцем файлы получают расширение *.crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.

    [​IMG]
    Если вы стали жертвой этой вредоносной программы, и файлы на вашем компьютере были зашифрованы до начала июня 2016 года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов и в значительной степени — от действий самого пользователя.

    Источник: «Доктор Веб» может расшифровать файлы, зашифрованные CryptXXX
     
    Последнее редактирование модератором: 15 июн 2016
    Охотник и SNS-amigo нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    +
    И там внизу мелким текстом:
     
    Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CryptXXX переходит на рэндомное расширение

    Несколько дней назад мы сообщали, что CryptXXX Ransomware стал широко использовать новое расширение для файлов .cryptz. На форумах по оказанию помощи жертвам шифровальщиков к этому времени была уже масса пострадавших. И это еще не всё. Разработчики CryptXXX решили изменить ряд моментов, чтобы усложнить анализ вредоноса и возможность правильной идентификации.

    cryptxxx.png

    Новая версия CryptXXX / UltraCrypter была выпущена вчера, и теперь к зашифрованным файлам вместо расширения .crypz добавляется рэндомное, состоящее из 5 шестнадцатеричных символов. Например, у зашифрованных файлов одного ПК может быть расширение .AC0D4 , а у другого — .DA3D1.

    Шаблон: .[5_random_hex_chars]

    Записки с требованием выкупа будут иметь название @[victim_id].txt, @[victim_id].html и @[victim_id].bmp.
    Таким образом, пользователь с ID 14AC2EF20B23 получит записки о выкупе с названиями 14AC2EF20B23.txt. 14AC2EF20B23.html 14AC2EF20B23.bmp
     
    Dragokas, Охотник и thyrex нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Вымогатели заработали на CryptXXX $50 000 в биткойнах

    По информации, поступившей из SentinelOne, в течение июня злоумышленники, использующие CryptXXX для атак на пользователей, получили в качестве выкупа за дешифровку файлов своих жертв $50 000 в биткойнах. Смакуя успех, эта вредоносная кампания продолжает набирать обороты. Анонимность криптовалюты Bitcoin целиком и полностью способствует вымогательству.

    Новый вариант CryptXXX маскируется под приложение CyberLink PowerDVD Cinema и устанавливает на GR жертвы библиотеку _BigBang.dll. Попав в систему вредонос прописывается в автозагрузку системы и обеспечивает себе постоянное присутствие. Файлы на зараженном компьютере шифруются комбинацией алгоритмов RSA и RC4, расширение зашифрованных файлов принимает вид .cryp1. Напоминаем, что ранее в CryptXXX использовались расширения .crypt, .crypz, к которым недавно добавилось расширение .[5_random_hex_chars].

     
    Охотник, Dragokas, Kиpилл и ещё 1-му нравится это.
  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.202
    Симпатии:
    4.970
    Тоже читал,мошенники используют системы анонимизации для вывода выкупа со счетов,за 17 дней получили около 3 000 000 рублей,при этом регулярно меняют реквизиты.
    Это серьезный бизнес,интересно будет ли возмездие?
    Или правоохранители только студней умеют трясти)))
     
    SNS-amigo нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CryptXXX: Изменения в новой версии

    Новые записки о выкупе:
    README.txt, README.html, README.bmp

    readme-ransom-note.png payment-site.png

    Новая версия CryptXXX больше не использует специальные расширения для зашифрованных файлов. Теперь зашифрованный файл будет иметь то же имя, что было до шифрования.

    Изменения коснулись и TOR-сайта, используемого CryptXXX для уплаты выкупа. Ранее CryptXXX использовал на этом сайте имена Google Decryptor и Ultra Decryptor. Теперь дэвы изменили сайт и дали сервису дешифровки название Microsoft Decryptor. Возможность контакта с разработчиками-вымогателями, если жертва имеет проблемы оплаты, отсутствует.

    Сумма выкупа не изменилась: 1.20 BTC

     
    Охотник нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Дополнение:
    CryptXXX Microsoft Decryptor не может расшифровать файлы, он попросту не работает.
    Опять!? :Biggrin:
     
    Охотник нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Для пострадавших от CryptXXX есть возможность получить ключи дешифрования!!!

    Ключи предлагаются бесплатно для:


    Расширение .Crypz (UltraDecryptor)

    Название записки о выкупе: ![victim_id].html
    Название записки о выкупе: ![victim_id].txt

    Пример TOR Url: http://xqraoaoaph4d545r.onion.to
    Пример TOR Url: Decryption service
    Пример TOR Url: http://xqraoaoaph4d545r.onion.city

    Расширение .Cryp1 (UltraDecryptor)

    Название записки о выкупе: ![victim_id].html
    Название записки о выкупе: ![victim_id].html

    Пример TOR Url: http://eqyo4fbr5okzaysm.onion.to
    Пример TOR Url: http://eqyo4fbr5okzaysm.onion.cab
    Пример TOR Url: http://eqyo4fbr5okzaysm.onion.city

    ----------------------------------------------------------------------
    Не предлагаются бесплатные ключи для:

    Расширение .Crypt (UltraDeCrypter)

    Название записки о выкупе: [victim_id].html
    Название записки о выкупе: [victim_id].txt

    Пример TOR Url: http://klgpco2v6jzpca4z.onion.to
    Пример TOR Url: http://klgpco2v6jzpca4z.onion.cab
    Пример TOR Url: http://klgpco2v6jzpca4z.onion.city

    Расширение .Crypt (Google Decryptor)

    Название записки о выкупе: !Recovery_[victim_id].html
    Название записки о выкупе: !Recovery_[victim_id].txt

    Пример TOR Url: http://2zqnpdpslpnsqzbw.onion.to
    Пример TOR Url: http://2zqnpdpslpnsqzbw.onion.cab
    Пример TOR Url: http://2zqnpdpslpnsqzbw.onion.city

    Случайное расширение (UltraDecryptor)

    Название записки о выкупе: @[victim_id].html
    Название записки о выкупе: @[victim_id].txt

    Пример TOR Url: 2mpsasnbq5lwi37r.onion.to
    Пример TOR Url: 2mpsasnbq5lwi37r.onion.cab
    Пример TOR Url: 2mpsasnbq5lwi37r.onion.city

    Без расширения (Microsoft Decryptor)

    Название записки о выкупе: README.html
    Название записки о выкупе: README.txt

    Пример TOR Url: http://ccjlwb22w6c22p2k.onion.to
    Пример TOR Url: http://ccjlwb22w6c22p2k.onion.city

     
    Охотник и thyrex нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CryptXXX некоторое время поставлялся через спам

    Proofpoint обнаружили новую мошенническую кампанию, использующую спам-рассылку для распространения вымогателя CryptXXX. В ходе кратковременной кампании злоумышленники отправляли email-письма с прикрепленными документами, содержавшими вредоносные макросы для загрузки и установки CryptXXX. Ранее вымогатель распространялся только с помощью набора эксплоитов Angler и Neutrino.

    Используя методы социальной инженерии мошенники вынуждали пользователей открывать вредоносные документы. Темы писем «Нарушение системы безопасности – отчет о безопасности». Пример одного такого вредоносного документа см. ниже.
    cryptxxxspam01.png cryptxxxspam02.png

    Эта мошенническая кампания не достигла больших масштабов. Злоумышленники отправили всего несколько тысяч электронных писем. Однако, возможно, это было тестовым испытанием новой модели распространения CryptXXX и в ближайшее время стоит ожидать более массивных атак.

    CryptXXX разделился на две ветви, одна из которых имеет номер 5.001 и постоянно находится в активной разработке, но совсем скоро может появиться новая отдельно развивающаяся версия вредоноса, еще не изученная специалистами.

     
    Охотник, thyrex и Kиpилл нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CryptXXX 4.001, предположительно...

    В новой версии CryptXXX теперь изменяется не только расширение зашифрованых файлов, но и сами имена файлов меняются на случайный набор цифр и букв, как это было у вымогателей CryptoWall и Locky. Версия, предположительно, 4.001.
    renamed-files.png
    Так теперь выглядят файлы, зашифрованные одной из новых версий CryptXXX, являющейся продолжением версии из поста №6.

    Судя по этому изображению, шаблон зашифрованных и переименованных файлов:
    [32_random_hex_chars].[5_random_hex_chars]
     
    Охотник нравится это.

Поделиться этой страницей