CrypMIC Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,2 биткоина. По истечении времени сумма выкупа увеличится до 2,4 биткоина.
© Генеалогия: CryptXXX (имитация) > CrypMIC
Специалисты сравнили два крипто-вымогателя по ряду признаков и считают, что у них есть относительное родство или некоторое заимствование.
Никаких расширений к зашифрованным файлам не добавляется, потому жертве разобраться в том, какие файлы были зашифрованы, довольно сложно.
Записки о выкупе сделаны в трех вариантах: README.TXT, README.html, README.BMP.
Записка о выкупе CrypMIC
Записка о выкупе CryptoXXX (для сравнения)
Перевод текста CrypMIC на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием с RSA4096
Подробную информацию о ключах шифрования с RSA4096 ищите здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это случилось?
!!! Специально для вашего ПК создан персональный ключ RSA4096, открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который был передан на ПК через Интернет.
!!! Дешифровать файлы можно только с помощью секретного ключа и декриптора с нашего секретного сервера.
Что мне делать?
Есть два способа, которые можете выбрать: ждать _чуда_ и _заплатить_двойную цену! Или получить БИТКОИНЫ СЕЙЧАС! и вернуть _ВАШИ_ФАЙЛЫ ...
Если у Вас есть ценные _ДАННЫЕ_, вам лучше _НЕ_ТЕРЯТЬ_ВРЕМЯ_, потому что _НЕТ_ другого способа получить свои файлы, за исключением того, сделать ... оплату...
Ваш персональный ID: ***
Для подробных инструкций откройте ваш персональный сайт, есть несколько адресов, указывающих на вашу страницу ниже: ...
Если по каким-то причинам адреса недоступны, сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - Видео-инструкция: ***
3 - После успешной установки запустить браузер
4 - Ввести в адресной строке: ***
5 - Следуйте инструкциям на сайте
Сравнение CrypMIC и CryptoXXX
CrypMIC не прописывается в автозагрузку системы, но способен шифровать 901 тип файлов. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.
CrypMIC использует для распространения те же методы, что и CryptXXX, в частности, набор эксплойтов Neutrino, размещенный на взломанных сайтах и во вредоносной рекламе. Может распространяться и с помощью других наборов эксплойтов, в частности RIG, а также с помощью фальшивых обновлений Adobe Flash Player.
CrypMIC имеет проверочную подпрограмму VM, может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер, для связи с которым используется собственный протокол через TCP-порт 443, как и у CryptoXXX.
CrypMIC способен шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Причем, CrypMIC шифрует информацию только на тех сетевых дисках, которые отображаются в карте сети.
CrypMIC не похищает учётные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX.
Сервис дешифрования, используемый создателями CrypMIC, тоже имеет определённое сходство с сервисом дешифрования CryptoXXX.
Сервис дешифрования CrypMIC
Сервис дешифрования CryptXXX (для сравнения)
Впервые CrypMIC исследован и описан в блоге TrenMicro как RANSOM_CRYPMIC.
Новый детект на VirusTotal >>
Ссылка на MTA >>
Топик поддержки на BC >>
Степень распространенности: перспективно высокая
Подробные сведения собираются.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 27 сентября 2018:
Посты в Твиттере >>
Скриншоты записок:
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as CrypMIC ) Write-up, Topic of Support *
Thanks: Michael Gillespie, MalwareHunterTeam, Lawrence Abrams Andrew Ivanov, Marcelo Rivero, GrujaRS * *
© Amigo-A (Andrew Ivanov): All blog articles.
