Авторы CryptXXX обошли декриптор - Proxy-Base Community

Proxy-Base-News · 13.05.2016, 11:20

Реакция создателей CryptXXX на появление декриптора не заставила себя ждать, они быстро выпустили обновление, позволяющее обойти декриптор. Более того, локер стал блокировать экран, лишая жертву доступа не только к зашифрованным файлам, но и ко всей системе. В итоге зараженный компьютер нельзя использовать даже для уплаты выкупа.

Блокер-шифровальщик CryptXXX был обнаружен в прошлом месяце. На тот момент в схеме его доставки был задействован Angler, посредством которого раздавался Bedep, загружавший криптоблокер и Dridex. Анализ показал, что, помимо реализации обычной для криптоблокеров функциональности, новобранец умеет воровать данные из IM-, FTP- и почтовых клиентов, а также из браузера. Исследователи также обнаружили признаки сходства CryptXXX с известным Reveton и полагают, что за обоими зловредами стоит одна и та же группа.

Эксперты «Лаборатории Касперского» выпустили декриптор, позволяющий восстановить файлы, зашифрованные CryptXXX. С появлением CryptXXX версии 2.006 этот инструмент стал бесполезен. Дело в том, что для текущего декриптора нужна оригинальная копия хотя бы одного шифрованного файла, тогда он сможет восстановить все файлы такого же или меньшего размера. Похоже, что это ограничение подсказало хакерам способ обхода.

Удостовериться в том, что уплата выкупа снимает блокировку экрана, исследователям не удалось. Тем не менее, на основании опыта знакомства с Reveton они высказали предположение, что такая функция по идее должна присутствовать в подобных вымогателях, то есть зараженный компьютер должен периодически соединяться с C&C, проверяя статус платежа.

Файлы с текстом требования выкупа, создаваемые CryptXXX в папках с зашифрованными данными, поменяли имя. Ранее это были de_crypt_readme с расширением .bmp, .txt или .html; версия 2 зловреда в качестве имени использует персональный ID, присвоенный жертве на основании данных ее машины. Легкое изменение было также замечено на странице с инструкциями по совершению платежей: злоумышленники ныне именуют свой дешифратор Google Decrypter вместо Cryptowall Decrypter, как было ранее.

13.05.2016, 11:20	#1 (permalink)
Proxy-Base-News VPN Регистрация: 16.09.2015 Сообщений: 2,580 Member ID: 35426 Репутация: 21 Сказал(а) спасибо: 0 Поблагодарили 7 раз(а) в 7 сообщениях	Авторы CryptXXX обошли декриптор Реакция создателей CryptXXX на появление декриптора не заставила себя ждать, они быстро выпустили обновление, позволяющее обойти декриптор. Более того, локер стал блокировать экран, лишая жертву доступа не только к зашифрованным файлам, но и ко всей системе. В итоге зараженный компьютер нельзя использовать даже для уплаты выкупа. Блокер-шифровальщик CryptXXX был обнаружен в прошлом месяце. На тот момент в схеме его доставки был задействован Angler, посредством которого раздавался Bedep, загружавший криптоблокер и Dridex. Анализ показал, что, помимо реализации обычной для криптоблокеров функциональности, новобранец умеет воровать данные из IM-, FTP- и почтовых клиентов, а также из браузера. Исследователи также обнаружили признаки сходства CryptXXX с известным Reveton и полагают, что за обоими зловредами стоит одна и та же группа. Эксперты «Лаборатории Касперского» выпустили декриптор, позволяющий восстановить файлы, зашифрованные CryptXXX. С появлением CryptXXX версии 2.006 этот инструмент стал бесполезен. Дело в том, что для текущего декриптора нужна оригинальная копия хотя бы одного шифрованного файла, тогда он сможет восстановить все файлы такого же или меньшего размера. Похоже, что это ограничение подсказало хакерам способ обхода. Удостовериться в том, что уплата выкупа снимает блокировку экрана, исследователям не удалось. Тем не менее, на основании опыта знакомства с Reveton они высказали предположение, что такая функция по идее должна присутствовать в подобных вымогателях, то есть зараженный компьютер должен периодически соединяться с C&C, проверяя статус платежа. Файлы с текстом требования выкупа, создаваемые CryptXXX в папках с зашифрованными данными, поменяли имя. Ранее это были de_crypt_readme с расширением .bmp, .txt или .html; версия 2 зловреда в качестве имени использует персональный ID, присвоенный жертве на основании данных ее машины. Легкое изменение было также замечено на странице с инструкциями по совершению платежей: злоумышленники ныне именуют свой дешифратор Google Decrypter вместо Cryptowall Decrypter, как было ранее.

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
CryptXXX массово распространяется через эксплойты	Proxy-Base-News	Новости IT	0	05.05.2016 10:30
Авторы Linux.Encoder предлагают пользователям из СНГ бесплатную расшифровку	Proxy-Base-News	Новости IT	0	02.12.2015 01:30
Авторы Cryptowall заработали более $325 млн за год	Proxy-Base-News	Новости IT	0	03.11.2015 11:00