TrueCrypter: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 28 апр 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель TrueCrypter

    Новый криптовымогатель, под названием TrueCrypter, был обнаружен аналитиком вредоносных программ Якубом Кроустеком из AVG. TrueCrypter шифрует данные с помощью двойного шифрования AES-256 и RSA-2048, а затем требует за расшифровку либо 0,2 биткоина, либо $ 115 долларов США в подарочной карте Amazon. При шифровании данных TrueCrypter добавляет расширение .enc ко всем зашифрованным файлам. Не обошлось и без курьёза: попавший к аналитику образец криптовымогателя, начинал дешифровку файлов, если пострадавший просто нажимал на кнопку "Pay". :Biggrin:

    truecrypter.png truecrypter-amazon.jpg

    Подарочные карты Amazon для оплаты выкупа — тенденция или особенность?
    На прошлой неделе мы уже видели еще одного вымогателя, принимавшего подарочные карты Amazon в качестве оплаты выкупа. Первым был ScreenLocker для Android и теперь вот второй — TrueCrypter. Этот странный выбор оплаты выкупа можно легко отследить с помощью Amazon. Предполагается, что эта программа была сделана любителем, а не опытным разработчиком вредоносных программ.

    Процесс шифрования TrueCrypter
    Когда TrueCrypter установлен, он сначала проверяет не выполняется ли его процесс в VMWare, VirtualBox или Sandboxie. Если это так, то он прекращает работу. Если это обычная система, то он проверяет наличие процессов, относящихся к программам безопасности. Обнаружив один из таких процессов, он завершит его. К ним относятся: antilogger, wireshark, charles, fiddler, netmon, reflector, sbiectrl, taskmgr .

    TrueCrypter затем подключается к странице https://ask.fm/innocentask001, которая содержит закодированную строку. При декодировании она откроет информацию о конфигурации: адрес C&C-TOR-сервера, сумму оплаты выкупа и Bitcoin-адрес для использования.
    Например, зашифрованная строка:
    декодируется в:
    Далее криптовымогатель начинает шифрование файлов на жестких дисках жертвы с использованием алгоритма AES-256. Каждый файл шифруется с уникальным AES-ключом, а затем этот ключ с шифруется с использованием RSA. Зашифрованный таким образом ключ дешифрования затем сохраняется в конце зашифрованного файла. Затем добавляется расширение .enc к зашифрованному файлу и имя файла сохраняется в файл %AppData%\Microsoft\TrueCrypter\encrypted.dat .

    Список файловых расширений, подвергающихся шифрованию TrueCrypter Ransomware:
    Во время процесса шифрования вымогатель устанавливает в качестве обоев рабочего стола Windows файл %AppData%\Microsoft\TrueCrypter\background.jpg и удаляет теневые копии файлов и точки восстановления системы.

    И последнее, вымогатель сохраняет информацию о своей конфигурации в файл %AppData%\Microsoft\TrueCrypter\TrueCrypter.xml
    Информация о проделанной работе по шифрованию файлов отправляется на C&C-сервер.

    Файлы, связанные с TrueCrypter:
    Код (Text):
    %AppData%\Microsoft\TrueCrypter\
    %AppData%\Microsoft\TrueCrypter\background.jpg
    %AppData%\Microsoft\TrueCrypter\Encrypted.dat
    %AppData%\Microsoft\TrueCrypter\TrueCrypter.exe
    %AppData%\Microsoft\TrueCrypter\TrueCrypter.xml
    Записи реестра, связанные с TrueCrypter:
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrueCrypter    %AppData%\Microsoft\TrueCrypter\TrueCrypter.exe
    Пример детекта на VirusTotal от 2 мая 2016:
    https://www.virustotal.com/ru/file/...7e2ad2a55e9ea64d4ef24593cf44622621a/analysis/

     
    Охотник и orderman нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    TrueCrypter: Начинаем дешифровку!

    Как оказалось, TrueCrypter легко дешифруем. Вообще, еще никогда дешифровка не была так легко осуществима. :)

    Чтобы приступить к дешифровке из основного интерфейса TrueCrypter, нажмите на кнопку ">" в правом нижнем углу окна вымогателя. Это откроет окно оплаты выкупа.

    truecrypter.png bitcoin-payment-method.png


    Далее нажмите кнопку "Pay" внизу справа и убедитесь, что информация верна, после чего TrueCrypter начнет автоматическую дешифровку файлов.

    decrypting-itself.png

    После того, как файлы будут расшифрованы, TrueCrypter начнет самоудаление с компьютера и известит по окончании, чтобы пользователь нажал кнопку "OK". :Sarcastic:

     
    Охотник нравится это.

Поделиться этой страницей