DetoxCrypto: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,134
Баллы
793
На неделе исследователи из разных уголков мира наткнулись на образец вымогателя, который получил название DetoxCrypto. Примечтаельно, что были обнаружены вариации с различным содержанием, на первый взгляд друг с другом не связанным.

pokemon.png calipso.png
Рис.1-2. Обои варианта Pokemon и Calipso.

На данный момент известно два варианта: Pokemon и Calipso. Один из них даже получил развитие в виде второй версии. Этот крипто-вымогатель шифрует данные с AES, а выкуп требует в 2 или 3 BTC, в зав-ти от региона или версии. Oт Канады до Кореи.

Оба варианта DetoxCrypto инфицируют ПК через exe-файл, распак-ся на 4 файла:
- картинка с текстом, заменяющая обоями;
- аудио-файл, сопровождающий блокировщик экрана;
- файл MicrosoftHost.exe, выполняющий шифрование;
- exe-файл - блокировщик экрана и за одно чекер оплаты.

pokemon-lock-screen.png
Рис.3. Заголовок блокировщика экрана "Все мы покемоны". :Biggrin:

Эти вымогатели:
- не используют сайт Tor для обработки платежей;
- не меняют названия у зашифрованных файлов;
- не добавляют к зашифрованным файлам др. расширение;
- оба ключа шифрования генер-ся в процессе шифрования;
- вымогают совсем уж немаленькую сумму — 2 или 3 BTC.

По типам файлов, кторые шифруются DetoxCrypto, данные пока не получены.

Файлы DetoxCrypto "Pokemon" Ransomware:
pokbg.jpg - картинка на обои;
Pokemon.exe - блокировщик;
MicrosoftHost.exe - шифровальщик;
pok.wav - аудио-файл.

Файлы DetoxCrypto "Calipso" Ransomware:
bg.jpg - картинка на обои;
Calipso.exe - блокировщик;
MicrosoftHost.exe - шифровальщик;
sound.wav - аудио-файл.

Источник
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,134
Баллы
793
Malwerbyte (фейк)

Новая версия одного из вариантов DetoxCrypto находится на стадии тестирования и пока не шифрует контент. Злоумышленники маскируют его под легитимный антивирусный продукт от компании Malwarebytes. В названии исполняемого файла Malwerbyte.exe присутствует ошибка, которую разработчик не озаботился исправить.

См. анализ этого файла на VirusTotal >>>

mlwr2.jpg mlwr1.jpg

«По всей видимости, то, что мы наблюдаем сейчас, это проверка методов распространения вредоносного ПО. Мы видели несколько версий DetoxCrypto и все они находятся рабочем состоянии только частично. Это может быть признаком подготовки к более масштабнойатаке и на это стоит обратить внимание», - отметил аналитик Malwarebytes Labs Кристофер Бойд.

Ранее в Еженедельном вестнике мы уже рассказывали о вариантах DetoxCrypto, это Serpico Ransomware, NullByte Ransomware...
В реальности вариантов этого семейства вымогателй гораздо больше, но все они содержат какую-то недоработку. И это попрой помогает дешифровать зашифрованные файлы без уплаты выкупа.
 
Сверху Снизу