• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

DetoxCrypto: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,048
На неделе исследователи из разных уголков мира наткнулись на образец вымогателя, который получил название DetoxCrypto. Примечтаельно, что были обнаружены вариации с различным содержанием, на первый взгляд друг с другом не связанным.

pokemon.png calipso.png
Рис.1-2. Обои варианта Pokemon и Calipso.

На данный момент известно два варианта: Pokemon и Calipso. Один из них даже получил развитие в виде второй версии. Этот крипто-вымогатель шифрует данные с AES, а выкуп требует в 2 или 3 BTC, в зав-ти от региона или версии. Oт Канады до Кореи.

Оба варианта DetoxCrypto инфицируют ПК через exe-файл, распак-ся на 4 файла:
- картинка с текстом, заменяющая обоями;
- аудио-файл, сопровождающий блокировщик экрана;
- файл MicrosoftHost.exe, выполняющий шифрование;
- exe-файл - блокировщик экрана и за одно чекер оплаты.

pokemon-lock-screen.png
Рис.3. Заголовок блокировщика экрана "Все мы покемоны". :Biggrin:

Эти вымогатели:
- не используют сайт Tor для обработки платежей;
- не меняют названия у зашифрованных файлов;
- не добавляют к зашифрованным файлам др. расширение;
- оба ключа шифрования генер-ся в процессе шифрования;
- вымогают совсем уж немаленькую сумму — 2 или 3 BTC.

По типам файлов, кторые шифруются DetoxCrypto, данные пока не получены.

Файлы DetoxCrypto "Pokemon" Ransomware:
pokbg.jpg - картинка на обои;
Pokemon.exe - блокировщик;
MicrosoftHost.exe - шифровальщик;
pok.wav - аудио-файл.

Файлы DetoxCrypto "Calipso" Ransomware:
bg.jpg - картинка на обои;
Calipso.exe - блокировщик;
MicrosoftHost.exe - шифровальщик;
sound.wav - аудио-файл.

Источник
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,048
Malwerbyte (фейк)

Новая версия одного из вариантов DetoxCrypto находится на стадии тестирования и пока не шифрует контент. Злоумышленники маскируют его под легитимный антивирусный продукт от компании Malwarebytes. В названии исполняемого файла Malwerbyte.exe присутствует ошибка, которую разработчик не озаботился исправить.

См. анализ этого файла на VirusTotal >>>

mlwr2.jpg mlwr1.jpg

«По всей видимости, то, что мы наблюдаем сейчас, это проверка методов распространения вредоносного ПО. Мы видели несколько версий DetoxCrypto и все они находятся рабочем состоянии только частично. Это может быть признаком подготовки к более масштабнойатаке и на это стоит обратить внимание», - отметил аналитик Malwarebytes Labs Кристофер Бойд.

Ранее в Еженедельном вестнике мы уже рассказывали о вариантах DetoxCrypto, это Serpico Ransomware, NullByte Ransomware...
В реальности вариантов этого семейства вымогателй гораздо больше, но все они содержат какую-то недоработку. И это попрой помогает дешифровать зашифрованные файлы без уплаты выкупа.
 
Сверху Снизу