DetoxCrypto: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 22 авг 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    На неделе исследователи из разных уголков мира наткнулись на образец вымогателя, который получил название DetoxCrypto. Примечтаельно, что были обнаружены вариации с различным содержанием, на первый взгляд друг с другом не связанным.

    pokemon.png calipso.png
    Рис.1-2. Обои варианта Pokemon и Calipso.

    На данный момент известно два варианта: Pokemon и Calipso. Один из них даже получил развитие в виде второй версии. Этот крипто-вымогатель шифрует данные с AES, а выкуп требует в 2 или 3 BTC, в зав-ти от региона или версии. Oт Канады до Кореи.

    Оба варианта DetoxCrypto инфицируют ПК через exe-файл, распак-ся на 4 файла:
    - картинка с текстом, заменяющая обоями;
    - аудио-файл, сопровождающий блокировщик экрана;
    - файл MicrosoftHost.exe, выполняющий шифрование;
    - exe-файл - блокировщик экрана и за одно чекер оплаты.

    pokemon-lock-screen.png
    Рис.3. Заголовок блокировщика экрана "Все мы покемоны". :Biggrin:

    Эти вымогатели:
    - не используют сайт Tor для обработки платежей;
    - не меняют названия у зашифрованных файлов;
    - не добавляют к зашифрованным файлам др. расширение;
    - оба ключа шифрования генер-ся в процессе шифрования;
    - вымогают совсем уж немаленькую сумму — 2 или 3 BTC.

    По типам файлов, кторые шифруются DetoxCrypto, данные пока не получены.

    Файлы DetoxCrypto "Pokemon" Ransomware:
    pokbg.jpg - картинка на обои;
    Pokemon.exe - блокировщик;
    MicrosoftHost.exe - шифровальщик;
    pok.wav - аудио-файл.

    Файлы DetoxCrypto "Calipso" Ransomware:
    bg.jpg - картинка на обои;
    Calipso.exe - блокировщик;
    MicrosoftHost.exe - шифровальщик;
    sound.wav - аудио-файл.

    Источник
     
    Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Malwerbyte (фейк)

    Новая версия одного из вариантов DetoxCrypto находится на стадии тестирования и пока не шифрует контент. Злоумышленники маскируют его под легитимный антивирусный продукт от компании Malwarebytes. В названии исполняемого файла Malwerbyte.exe присутствует ошибка, которую разработчик не озаботился исправить.

    См. анализ этого файла на VirusTotal >>>

    mlwr2.jpg mlwr1.jpg

    «По всей видимости, то, что мы наблюдаем сейчас, это проверка методов распространения вредоносного ПО. Мы видели несколько версий DetoxCrypto и все они находятся рабочем состоянии только частично. Это может быть признаком подготовки к более масштабнойатаке и на это стоит обратить внимание», - отметил аналитик Malwarebytes Labs Кристофер Бойд.

    Ранее в Еженедельном вестнике мы уже рассказывали о вариантах DetoxCrypto, это Serpico Ransomware, NullByte Ransomware...
    В реальности вариантов этого семейства вымогателй гораздо больше, но все они содержат какую-то недоработку. И это попрой помогает дешифровать зашифрованные файлы без уплаты выкупа.
     
    Охотник нравится это.

Поделиться этой страницей