• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

CryptXXX: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель CryptXXX: Нечист на руку

Исследователи компании Proofpoint обнаружили новый вид вымогателя, под названием CryptXXX, с довольно интересным функционалом. Помимо шифрования файлов с использованием алгоритма RSA4096, CryptXXX способен похищать биткойны, пароли, учетные данные и другую важную информацию. За восстановление доступа к данным операторы вредоноса требуют выкуп в размере 1,2 BTC (приблизительно $515-520). Если выкуп не оплачен в течение определенного периода времени, он возрастает в два раза до 2,4 BTC. Если выкуп не уплачен в срок, закрытый ключ будет удален навсегда и тогда расшифровка файлов будет невозможна.

15 апреля 2016 года, исследователи заметили, что Bedep загружает Angler EK и Dridex 222 (см. скриншот, крайнюю правую колонку). Стало ясно, что для распространения CryptXXX злоумышленники используют набор эксплойтов Angler, вредПО Bedep, загружающий других троянов на зараженные системы и инициирующий мошеннические клики.

cryptxxx-fig-1.png

Для сообщения жертве о том, что файлы зашифрованы, CryptXXX создает три типа файлов и помещает их в каждой папке, содержащей зашифрованные файлы. Содержание похоже на многие другие виды вымогательских записок (Locky, Teslacrypt и Cryptowall): de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html

cryptxxx-fig-2.jpg cryptxxx-fig-4.jpg
cryptxxx-fig-3.jpg

Функции CryptXXX короткой строкой:
CryptXXX проверяет имя процессора в системном реестре.
Обладает функциями выявления виртуалки и анти-анализа.
Устанавливает процедуру для мониторинга событий мыши.
Шифрует файлы и добавляет расширение .crypt к имени файла.

Помимо шифрования контента, CryptXXX собирает данные об установленных на компьютере приложениях для мгновенного обмена сообщениями, почтовых клиентах, FTP-менеджерах и браузерах. По словам экспертов Proofpoint, некоторые признаки указывают на то, что авторство CryptXXX принадлежит создателям Angler EK, вредоносного ПО Bedep и Reveton. Они также предполагает, то CryptXXX вскоре получит большее распространение.

Подробности работы цепочки выкуп-дешифровка см. на сайте proofpoint.com


Файлы, связанные с CryptXXX:
Код:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
%AppData%\[id].dat
%Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
%Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
%Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
%Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Дешифровщик для зашифрованных файлов можно скачать по ссылке в посте:
https://safezone.cc/threads/dajosh-deshifrovschik.26989/
 
Создатели CryptXXX до(ш)кодились

Как известно тем, кто еще не разучился читать, 21 мая разработчики CryptXXX Ransomware обновили своё детище до версии 3.0, чтобы сделать невозможным бесплатную расшифровку файлов утилитой RannohDecryptor.

Исследователи программ-вымогателей получили у разработчиков-вымогателей ихний декриптор и попытались им расшифровать зашифрованные 3-й версией CryptXXX файлы. Эта попытка потерпела неудачу. Декритор выдал ошибку. :Sarcastic:

decrypt-error.png

Таким образом, всем, кто умудрился стать жертвой новой версии вымогателя, стоит подождать выхода новой версии декриптора от ЛК. Мы надеемся, что они выпустят правильный декриптор для дешифровки CryptXXX 3.0. :Biggrin:
 
CryptXXX 3.1.0.0

Новая версия 3.1.0.0 получила ряд новых особенностей. Опишем лишь те, что без сомнения заслуживают внимания.

Теперь CryptXXX с особой целью сканирует порт 445, который используется для SMB (Server Message Block - сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия). Благодаря чему новый CryptXXX способен находить общие ресурсы в сети, получать список файлов в каждом общем каталоге и шифровать их один за другим.
Получив список шифруемых файлов CryptXXX запрашивает основную информацию о файле, прочитывает через SMB файл и перезаписывает его зашифрованной версией.
После того как файл будет перезаписан, CryptXXX 3.100 переименовывает зашифрованный файл, добавив к имени файла расширение .cryp1, тогда как, предыдущие версии CryptXXX использовали расширение .crypt. После того, как файл будет переименован, вредонос выполняет проверку наличия записки о выкупе для каждого зашифрованного файла, а не для каждой папки, как было ранее.

Список файловых расширений, подвергающихся шифрованию:
.3dm .3ds .3g2 .3gp .4db .4dl .4mp .a3d .abm .abs .abw .accdb .act .adn .adp .aes .af2 .af3 .aft .afx .agif .agp .ahd .aic .aif .aim .albm .alf .ani .ans .apd .apk .apm .apng .app .aps .apt .apx .arc .art .arw .asc .ase .asf .ask .asm .asp .aspx .asw .asx .asy .aty .avi .awdb .awp .awt .aww .azz .bad .bay .bbs .bdb .bdp .bdr .bean .bib .bm2 .bmp .bmx .bna .bnd .boc .bok .brd .brk .brn .brt .bss .btd .bti .btr .bz2 .c4d .cal .cals .can .cd5 .cdb .cdc .cdg .cdmm .cdmt .cdr .cdr3 .cdr4 .cdr6 .cdt .cer .cfg .cfm .cfu .cgi .cgm .cimg .cin .cit .ckp .class .clkw .cma .cmd .cmx .cnm .cnv .colz .cpc .cpd .cpg .cpp .cps .cpt .cpx .crd .crt .crwl .crypt .csr .css .csv .csy .cue .cv5 .cvg .cvi .cvs .cvx .cwt .cxf .cyi .dad .daf .db3 .dbf .dbk .dbt .dbv .dbx .dca .dcb .dch .dcs .dct .dcu .dcx .ddl .ddoc .dds .ded .df1 .dgn .dgs .dhs .dib .dif .dip .diz .djv .djvu .dm3 .dmi .dmo .dnc .dne .doc .docb .docm .docx .docz .dot .dotm .dotx .dp1 .dpp .dpx .dqy .drw .drz .dsk .dsn .dsv .dt2 .dta .dtd .dtsx .dtw .dvi .dvl .dwg .dxb .dxf .dxl .eco .ecw .ecx .edb .efd .egc .eio .eip .eit .emd .emf .eml .emlx .epf .epp .eps .epsf .eql .erf .err .etf .etx .euc .exr .fal .faq .fax .fb2 .fb3 .fbl .fbx .fcd .fcf .fdb .fdf .fdr .fds .fdt .fdx .fdxt .fes .fft .fh10 .fh11 .fh3 .fh4 .fh5 .fh6 .fh7 .fh8 .fic .fid .fif .fig .fil .fla .fli .flr .flv .fm5 .fmv .fodt .fol .fp3 .fp4 .fp5 .fp7 .fpos .fpt .fpx .frm .frt .ft10 .ft11 .ft7 .ft8 .ft9 .ftn .fwdn .fxc .fxg .fzb .fzv .gadget .gbk .gbr .gcdp .gdb .gdoc .ged .gem .geo .gfb .ggr .gif .gih .gim .gio .glox .gpd .gpg .gpn .gpx .gro .grob .grs .gsd .gthr .gtp .gwi .hbk .hdb .hdp .hdr .hht .his .hpg .hpgl .hpi .hpl .htc .htm .html .hwp .i3d .ibd .ibooks .icn .icon .idc .idea .idx .iff .igt .igx .ihx .iil .iiq .imd .indd .info .ini .ini0 .ini4 .ini8 .inid .inih .inil .inip .init .inix .ink .ipf .ipx .itdb .itw .iwi .j2c .j2k .jar .jas .java .jb2 .jbmp .jbr .jfif .jia .jis .jks .jng .joe .jp1 .jp2 .jpe .jpeg .jpg .jpg2 .jps .jpx .jrtf .jsp .jtx .jwl .jxr .kdb .kdbx .kdc .kdi .kdk .kes .key .kic .klg .kml .kmz .knt .kon .kpg .kwd .lay .lay6 .lbm .lbt .ldf .lgc .lis .lit .ljp .lmk .lnt .lp2 .lrc .lst .ltr .ltx .lua .lue .luf .lwo .lwp .lws .lyt .lyx .m3d .m3u .m4a .m4v .mac .man .map .maq .mat .max .mbm .mbox .mdb .mdf .mdn .mdt .mef .mell .mfd .mft .mgcb .mgmt .mgmx .mid .min .mkv .mmat .mml .mng .mnr .mnt .mobi .mos .mov .mp3 .mp4 .mpa .mpf .mpg .mpo .mrg .mrxs .ms11 .msg .msi .mt9 .mud .mwb .mwp .mxl .myd .myi .myl .ncr .nct .ndf .nef .nfo .njx .nlm .note .now .nrw .ns2 .ns3 .ns4 .nsf .nv2 .nyf .nzb .obj .oc3 .oc4 .oc5 .oce .oci .ocr .odb .odg .odm .odo .odp .ods .odt .ofl .oft .omf .oplc .oqy .ora .orf .ort .orx .ota .otg .oti .otp .ots .ott .ovp .ovr .owc .owg .oyx .ozb .ozj .ozt .p12 .p7s .p96 .p97 .pages .pal .pan .pano .pap .paq .pas .pbm .pc1 .pc2 .pc3 .pcd .pcs .pct .pcx .pdb .pdd .pdf .pdm .pdn .pds .pdt .pe4 .pef .pem .pff .pfi .pfs .pfv .pfx .pgf .pgm .phm .php .pi1 .pi2 .pi3 .pic .pict .pif .pix .pjpg .pjt .plt .plugin .pmg .png .pni .pnm .pntg .pnz .pop .pot .potm .potx .pp4 .pp5 .ppam .ppm .pps .ppsm .ppsx .ppt .pptm .pptx .prf .priv .private .prt .prw .psd .psdx .pse .psid .psp .pspimage .psw .ptg .pth .ptx .pvj .pvm .pvr .pwa .pwi .pwr .pxr .pz3 .pza .pzp .pzs .qcow2 .qdl .qmg .qpx .qry .qvd .rad .rar .ras .raw .rctd .rcu .rdb .rdds .rdl .rft .rgb .rgf .rib .ric .riff .ris .rix .rle .rli .rng .rpd .rpf .rpt .rri .rsb .rsd .rsr .rss .rst .rtd .rtf .rtx .run .rw2 .rwl .rzk .rzn .s2mv .s3m .saf .sai .sam .save .sbf .scad .scc .sch .sci .scm .sct .scv .scw .sdb .sdf .sdm .sdoc .sdw .sep .sfc .sfw .sgm .sig .sitx .sk1 .sk2 .skm .sla .sld .sldx .slk .sln .sls .smf .smil .sms .sob .spa .spe .sph .spj .spp .spq .spr .sqb .sql .sqlite3 .sqlitedb .sr2 .srt .srw .ssa .ssk .stc .std .ste .sti .stm .stn .stp .str .stw .sty .sub .sumo .sva .svf .svg .svgz .swf .sxc .sxd .sxg .sxi .sxm .sxw .t2b .tab .tar .tb0 .tbk .tbn .tcx .tdf .tdt .tex .text .tfc .tg4 .tga .tgz .thm .thp .tif .tiff .tjp .tlb .tlc .tm2 .tmd .tmp .tmv .tmx .tne .tpc .tpi .trm .tvj .txt .u3d .u3i .udb .ufo .ufr .uga .unx .uof .uop .uot .upd .usr .utf8 .utxt .v12 .vbr .vbs .vcf .vct .vcxproj .vda .vdb .vdi .vec .vff .vmdk .vml .vmx .vnt .vob .vpd .vpe .vrml .vrp .vsd .vsdm .vsdx .vsm .vst .vstx .vue .wav .wb1 .wbc .wbd .wbk .wbm .wbmp .wbz .wcf .wdb .wdp .webp .wgz .wire .wks .wma .wmdb .wmf .wmv .wp4 .wp5 .wp6 .wp7 .wpa .wpd .wpe .wpg .wpl .wps .wpt .wpw .wri .wsc .wsd .wsf .wsh .wtx .wvl .x3d .x3f .xar .xcodeproj .xdb .xdl .xhtm .xhtml .xlc .xld .xlf .xlgc .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xpm .xps .xwp .xy3 .xyp .xyw .yal .ybk .yml .ysp .yuv .z3d .zabw .zdb .zdc .zif .zip .zipx .zz3 (901 расширение).

В версии 3.100 обновился экран блокировки и платежный портал, претерпевший ряд косметических обновлений.
cryptxxx-3-1.png cryptxxx-3-1-pay1.png cryptxxx-3-1-pay2.png

Среди нововведений есть также специальный модуль StillerX, который занимается хищением информации, с последующей её продажей насторону или использования в дальнейших целевых атаках, и может быть использован как самостоятельный инструмент, в том числе и в кампаниях по распространению другого вредоносного ПО.

Неполный список данных, похищаемых StillerX:
- данные из браузера (история, куки, сохраненные учетные данные)
- учетные данные интернет-соединения;
- менеджеры сохранения учетных данных;
- учетные данные по электронной почты;
- учетные данные для FTP;
- учетные данные из IM;
- учетные данные ПО Poker;
- учетные данные прокси;
- учетные данные программ удаленного администрирования;
- учетные данные VPN;
- кэшированные пароли WNetEnum;
- данные Microsoft Credential Manager.

История версий CryptXXX, по данным Proofpoint, выглядит следующим образом:
1.001 - 16 апреля
2.000 - 29 апреля
2.006 - 9 мая
2.007 - 11 мая
3.000 - 16 мая
3.002 - 24 мая
3.100 - 26 мая

Как видите, обновления CryptXXX выходили достаточно быстро, кардинально меняя вымогателя в течение одного месяца, и теперь, без нового инструмента дешифрования, усилия по защите пользователей и организаций должны быть направлены не только на выявление, но и на предупреждение данной угрозы.

 
Компания Dr.Web объявила, что может расшифровать файлы, зашифрованные CryptXXX

Троянцы-энкодеры представляют серьезную опасность для пользователей по всему миру: эти вредоносные программы шифруют хранящуюся на компьютере информацию и требуют выкуп за ее расшифровку. На сегодняшний день известно множество разновидностей шифровальщиков. Антивирусная компания «Доктор Веб» давно и успешно борется с такими программами-вымогателями: в некоторых случаях зашифрованные троянцем файлы можно восстановить. Это касается и энкодера, известного под именем CryptXXX, — специалисты «Доктор Веб» могут расшифровать поврежденные этим троянцем файлы, если они были зашифрованы до начала июня 2016 года.

Вредоносная программа Trojan.Encoder.4393, также известная под именем CryptXXX, является типичным представителем многочисленной группы троянцев-энкодеров. Этот шифровальщик имеет несколько версий и распространяется злоумышленниками по всему миру. С целью увеличить прибыль от своей незаконной деятельности вирусописатели организовали специальный сервис по платной расшифровке поврежденных CryptXXX файлов, выплачивающий определенный процент распространителям троянца. Все копии CryptXXX обращаются на единый управляющий сервер, а предлагающие расшифровку сайты расположены в анонимной сети TOR. Успешностью партнерской программы, по всей видимости, отчасти и объясняется широта географии известных случаев заражения, а также высокая популярность CryptXXX среди злоумышленников. Зашифрованные троянцем файлы получают расширение *.crypt, а файлы с требованиями вымогателей имеют имена de_crypt_readme.txt, de_crypt_readme.html и de_crypt_readme.png.

Cryptpic.png
Если вы стали жертвой этой вредоносной программы, и файлы на вашем компьютере были зашифрованы до начала июня 2016 года, существует возможность восстановить информацию. Успех этой операции зависит от ряда факторов и в значительной степени — от действий самого пользователя.

Источник: «Доктор Веб» может расшифровать файлы, зашифрованные CryptXXX
 
Последнее редактирование модератором:
+
И там внизу мелким текстом:
Для расшифровки файлов, поврежденных в результате действия CryptXXX, воспользуйтесь специальной страницей сервиса на сайте антивирусной компании «Доктор Веб». Бесплатная помощь по расшифровке файлов оказывается только обладателям лицензии Dr.Web, у которых на момент заражения был установлен Dr.Web Security Space (для Windows), Антивирус Dr.Web для OS X или Linux не ниже версии 10 или Dr.Web Enterprise Security Suite (версии 6+). Другие пострадавшие могут воспользоваться платной услугой Dr.Web Rescue Pack через форму запроса: плата взимается только если анализ покажет, что расшифровка возможна. Кроме того, воспользовавшиеся этой услугой клиенты получают бесплатную двухгодичную лицензию на продукт Dr.Web Security Space для 1 ПК.
 
CryptXXX переходит на рэндомное расширение

Несколько дней назад мы сообщали, что CryptXXX Ransomware стал широко использовать новое расширение для файлов .cryptz. На форумах по оказанию помощи жертвам шифровальщиков к этому времени была уже масса пострадавших. И это еще не всё. Разработчики CryptXXX решили изменить ряд моментов, чтобы усложнить анализ вредоноса и возможность правильной идентификации.

cryptxxx.png

Новая версия CryptXXX / UltraCrypter была выпущена вчера, и теперь к зашифрованным файлам вместо расширения .crypz добавляется рэндомное, состоящее из 5 шестнадцатеричных символов. Например, у зашифрованных файлов одного ПК может быть расширение .AC0D4 , а у другого — .DA3D1.

Шаблон: .[5_random_hex_chars]

Записки с требованием выкупа будут иметь название @[victim_id].txt, @[victim_id].html и @[victim_id].bmp.
Таким образом, пользователь с ID 14AC2EF20B23 получит записки о выкупе с названиями 14AC2EF20B23.txt. 14AC2EF20B23.html 14AC2EF20B23.bmp
 
Вымогатели заработали на CryptXXX $50 000 в биткойнах

По информации, поступившей из SentinelOne, в течение июня злоумышленники, использующие CryptXXX для атак на пользователей, получили в качестве выкупа за дешифровку файлов своих жертв $50 000 в биткойнах. Смакуя успех, эта вредоносная кампания продолжает набирать обороты. Анонимность криптовалюты Bitcoin целиком и полностью способствует вымогательству.

Новый вариант CryptXXX маскируется под приложение CyberLink PowerDVD Cinema и устанавливает на GR жертвы библиотеку _BigBang.dll. Попав в систему вредонос прописывается в автозагрузку системы и обеспечивает себе постоянное присутствие. Файлы на зараженном компьютере шифруются комбинацией алгоритмов RSA и RC4, расширение зашифрованных файлов принимает вид .cryp1. Напоминаем, что ранее в CryptXXX использовались расширения .crypt, .crypz, к которым недавно добавилось расширение .[5_random_hex_chars].

 
Тоже читал,мошенники используют системы анонимизации для вывода выкупа со счетов,за 17 дней получили около 3 000 000 рублей,при этом регулярно меняют реквизиты.
Это серьезный бизнес,интересно будет ли возмездие?
Или правоохранители только студней умеют трясти)))
 
CryptXXX: Изменения в новой версии

Новые записки о выкупе:
README.txt, README.html, README.bmp

readme-ransom-note.png payment-site.png

Новая версия CryptXXX больше не использует специальные расширения для зашифрованных файлов. Теперь зашифрованный файл будет иметь то же имя, что было до шифрования.

Изменения коснулись и TOR-сайта, используемого CryptXXX для уплаты выкупа. Ранее CryptXXX использовал на этом сайте имена Google Decryptor и Ultra Decryptor. Теперь дэвы изменили сайт и дали сервису дешифровки название Microsoft Decryptor. Возможность контакта с разработчиками-вымогателями, если жертва имеет проблемы оплаты, отсутствует.

Сумма выкупа не изменилась: 1.20 BTC

 
Для пострадавших от CryptXXX есть возможность получить ключи дешифрования!!!

Ключи предлагаются бесплатно для:


Расширение .Crypz (UltraDecryptor)

Название записки о выкупе: ![victim_id].html
Название записки о выкупе: ![victim_id].txt

Пример TOR Url: http://xqraoaoaph4d545r.onion.to
Пример TOR Url: Decryption service
Пример TOR Url: http://xqraoaoaph4d545r.onion.city

Расширение .Cryp1 (UltraDecryptor)

Название записки о выкупе: ![victim_id].html
Название записки о выкупе: ![victim_id].html

Пример TOR Url: http://eqyo4fbr5okzaysm.onion.to
Пример TOR Url: http://eqyo4fbr5okzaysm.onion.cab
Пример TOR Url: http://eqyo4fbr5okzaysm.onion.city

----------------------------------------------------------------------
Не предлагаются бесплатные ключи для:

Расширение .Crypt (UltraDeCrypter)

Название записки о выкупе: [victim_id].html
Название записки о выкупе: [victim_id].txt

Пример TOR Url: http://klgpco2v6jzpca4z.onion.to
Пример TOR Url: http://klgpco2v6jzpca4z.onion.cab
Пример TOR Url: http://klgpco2v6jzpca4z.onion.city

Расширение .Crypt (Google Decryptor)

Название записки о выкупе: !Recovery_[victim_id].html
Название записки о выкупе: !Recovery_[victim_id].txt

Пример TOR Url: http://2zqnpdpslpnsqzbw.onion.to
Пример TOR Url: http://2zqnpdpslpnsqzbw.onion.cab
Пример TOR Url: http://2zqnpdpslpnsqzbw.onion.city

Случайное расширение (UltraDecryptor)

Название записки о выкупе: @[victim_id].html
Название записки о выкупе: @[victim_id].txt

Пример TOR Url: 2mpsasnbq5lwi37r.onion.to
Пример TOR Url: 2mpsasnbq5lwi37r.onion.cab
Пример TOR Url: 2mpsasnbq5lwi37r.onion.city

Без расширения (Microsoft Decryptor)

Название записки о выкупе: README.html
Название записки о выкупе: README.txt

Пример TOR Url: http://ccjlwb22w6c22p2k.onion.to
Пример TOR Url: http://ccjlwb22w6c22p2k.onion.city

 
CryptXXX некоторое время поставлялся через спам

Proofpoint обнаружили новую мошенническую кампанию, использующую спам-рассылку для распространения вымогателя CryptXXX. В ходе кратковременной кампании злоумышленники отправляли email-письма с прикрепленными документами, содержавшими вредоносные макросы для загрузки и установки CryptXXX. Ранее вымогатель распространялся только с помощью набора эксплоитов Angler и Neutrino.

Используя методы социальной инженерии мошенники вынуждали пользователей открывать вредоносные документы. Темы писем «Нарушение системы безопасности – отчет о безопасности». Пример одного такого вредоносного документа см. ниже.
cryptxxxspam01.png cryptxxxspam02.png

Эта мошенническая кампания не достигла больших масштабов. Злоумышленники отправили всего несколько тысяч электронных писем. Однако, возможно, это было тестовым испытанием новой модели распространения CryptXXX и в ближайшее время стоит ожидать более массивных атак.

CryptXXX разделился на две ветви, одна из которых имеет номер 5.001 и постоянно находится в активной разработке, но совсем скоро может появиться новая отдельно развивающаяся версия вредоноса, еще не изученная специалистами.

 
CryptXXX 4.001, предположительно...

В новой версии CryptXXX теперь изменяется не только расширение зашифрованых файлов, но и сами имена файлов меняются на случайный набор цифр и букв, как это было у вымогателей CryptoWall и Locky. Версия, предположительно, 4.001.
renamed-files.png
Так теперь выглядят файлы, зашифрованные одной из новых версий CryptXXX, являющейся продолжением версии из поста №6.

Судя по этому изображению, шаблон зашифрованных и переименованных файлов:
[32_random_hex_chars].[5_random_hex_chars]
 
Назад
Сверху Снизу