• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

CrypMIC: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
CrypMIC подражает CryptXXX

Новый шифровальщик CrypMIC подражает в том, что касается предупреждений о выкупе и сайта оплаты, своему предшественнику CryptXXX. Оба вымогателя требуют одинаковые суммы за восстановление контента – от 1,2 до 2,4 биткойнов. Способ оплаты у обоих: Bitcoins, сеть Tor.

20160718crypmiccryptxxx08.png


Рис.1. Слева Tor-сайт CrypMIC, справа - CryptXXX

CrypMIC был замечен две недели назад исследователями из компании Trend Micro. По их словам, у двух семейств наблюдаются и другие схожие черты. Например, оба вымогателя используют одно и то же имя для функции экспорта (MS1, MS2) и собственный протокол для связи с C&C-сервером через TCP-порт 443.

В ходе более подробного анализа эксперты выявили различия в кодах и функционале CrypMIC и CryptXXX. В частности, CrypMIC не добавляет никакого расширения к файлам, что усложняет выявление зашифрованного контента. Кроме того, вымогатели используют различные компиляторы и методы обфускации. Также CrypMIC определяет наличие виртуальной машины и отправляет информацию на C&C-сервер злоумышленников.

20160718crypmiccryptxxx07.png

Рис.2. Слева требования CrypMIC, справа - CryptXXX

CrypMIC использует алгоритм AES-256 (но грозит в записке о выкупе алгоритмом RSA-4096), способен шифровать 901 тип файлов и не прописывается в автозагрузку системы. Зато может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

CrypMIC, как и CryptXXX, использует для распространения те же методы, в частности, набор эксплоитов Neutrino.

Записки о выкупе в трех вариантах: README.TXT, README.html, README.BMP.

CrypMIC представляет особую опасность для организаций, поскольку может шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Но он не способен похищать учетные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX.

 
CrypMIC: Дополнение

Содержание текстовых записок о выкупе у CrypMIC и CryptXXX практически идентично.
cryptmic-text-ransom-notes.png cryptxxx-text-ransom-notes.png
Рис.3. Слева требования CrypMIC в txt-файле, справа - CryptXXX

Основным отличием является указанный персональный идентификатор.
У CryptXXX персональный идентификатор имеет 12 шестнадцатеричных символов, например, 1A1B1C1D1B1D.
А у CrypMIC в идентификаторе используются 4 группы 8 шестнадцатеричных символов, разделенных двоеточиями, например, 1A1B1C1D: 1A1C1D1F: 1A1B1C1D: 1A1C1B1E.


Все остальные сходства и отличия были уже описаны выше в первом посте от 22 июля.
 
CrypMIC через EK RIG

CrypMIC стал распространяться с помощью набора эксплойтов RIG, который входит в пятерку активно используемых наборов эксплойтов, наряду с Neutrino, Magnitude, Sundown и малоизвестным Hunter.

На легитимных сайтах методом внедрения скрипта размещается набор эксплоитов RIG, который используется для заражения систем посетителей сайта CrypMIC Ransomware. Инфицирование происходит путем эксплуатации уязвимостей в плагине Adobe Flash Player.

Эксплоит CrypMIC сбрасывается во временную папку под произвольным имененем. Файл запускается с правами текущего пользователя (например, администратора) и сразу е связывается со своим C&C-сервером через TCP-порт 443.

Новый детект на сайте VIrusTotal >>>
 
Назад
Сверху Снизу