• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

CryptoJoker (КриптоДжокер): Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель CryptoJoker (КриптоДжокер)

Перевод выполнен SNS-amigo специально для данного раздела. Любое цитирование или копирование любой его части допускается только с разрешения автора-переводчика.

Группа исследователей MalwareHunterTeam недавно обнаружила новую угрозу безопасности, RansomWare под названием CryptoJoker (КриптоДжокер).

Распространение данного вымогательского ПО пока еще не отличается широким размахом, но уже можно предположить, что CryptoJoker в скором времени может добавить себе "популярности".

Установщик CryptoJoker маскируется под PDF-файл и распространяется по электронной почте в результате фишинг-кампаний. После того, как установщик запустится на выполнение, то будет докачано и сгенерировано нужное количество исполняемых файлов в %Temp% папке и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями. К каждому зашифрованному файлу он добавляет расширение .crjoker. Например, пользовательский файл dog.jpg станет файлом Dog.jpg.crjoker.

Список расширений, являющихся целями для CryptoJoker:
.txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

Зашифровав данные с помощью AES-256 шифрования, CryptoJoker требует выкуп в биткоинах за возврат файлов в прежнее состояние.

Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный в server6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

Код, используемый для отправки такой информации приведен ниже.
sent-info.jpg

В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы. Т.е. метод, который можно было использовать для восстановления файлов, зашифрованных вымогателем LowLevel04, уже не сработает.

С помощью этого пакетного файла выполняются следующие команды:
Код:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe delete shadows /all /quiet

Вымогательское окно отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций.
При отправке электронной почты пострадавшая сторона должна скопировать RSA-шифрованную строку текста, который отображается в этом окне, а также имеется в файле в файле README !!!.TXT в %Temp%.

cryptojoker.jpg

Окно с требованием выкупа будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe.

Пока нет бесплатных способов расшифровки файлов, зашифрованных CryptoJoker. Если он "выпадет в тираж", можно будет вплотную заняться поиском методов восстановления зашифрованных файлов.

Файлы связанные с CryptoJoker
Код:
%Temp%\crjoker.html
%Temp%\drvpci.exe
%Temp%\GetYouFiles.txt
%Temp%\imgdesktop.exe
%Temp%\new.bat
%Temp%\README!!!.txt
%Temp%\sdajfhdfkj
%Temp%\windefrag.exe
%Temp%\windrv.exe
%Temp%\winpnp.exe
%AppData%\dbddbccdf.exe
%AppData%\README!!!.txt22

Записи реестра связанные с CryptoJoker
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe
 
Назад
Сверху Снизу