Реакция создателей CryptXXX на появление декриптора не заставила себя ждать: как пишет Softpedia со слов Proofpoint, они быстро выпустили обновление, позволяющее обойти этот спасительный инструмент. Более того, вымогатель стал блокировать экран, лишая жертву доступа не только к зашифрованным файлам, но и ко всей системе. В итоге зараженный компьютер теперь нельзя использовать даже для уплаты выкупа.

Блокер-шифровальщик CryptXXX был обнаружен Proofpoint в середине прошлого месяца. На тот момент в схеме его доставки был задействован Angler, посредством которого раздавался Bedep, загружавший криптоблокер и Dridex. Анализ показал, что помимо реализации обычной для криптоблокеров функциональности новобранец умеет воровать данные из IM-, FTP- и почтовых клиентов, а также из браузера. Исследователи также обнаружили признаки сходства CryptXXX с печально известным «вирусом-полицейским» Reveton и полагают, что за обоими зловредами стоит одна и та же криминальная группировка.

Выпустив первую версию CryptXXX, злоумышленники тут же принялись ее дорабатывать. «Результаты его эволюции с момента появления мы фиксировали много раз, однако эти изменения были столь незначительными, что не заслуживали отдельного упоминания, — отметили в Proofpoint. — Как и следовало ожидать, число его распространителей возросло… В последние недели на глобальной drive-by-арене наблюдается миграция нескольких ведущих игроков с TeslaCrypt/Locky на CryptXXX/Cerber».

В ответ на новую угрозу эксперты «Лаборатории Касперского» оперативно выпустили декриптор, позволяющий бесплатно восстановить файлы, зашифрованные CryptXXX. К сожалению, с появлением версии 2.006 вымогателя этот инструмент придется перестраивать: против нее он бесполезен. Дело в том, что для текущего декриптора нужна оригинальная копия хотя бы одного шифрованного файла, тогда он сможет восстановить все файлы такого же или меньшего размера. Похоже, что это ограничение подсказало злоумышленникам способ обхода.

Анализ CryptXXX 2.006, проведенный в Proofpoint, показал, что эта версия, скорее всего, использует библиотеку сжатия zlib 1.2.2. Исследователи полагают, что именно это усовершенствование препятствует работе декриптора, который теперь при запуске исправно выдает ошибку: «Размер зашифрованного файла не равен оригинальному».

Обновленный CryptXXX также выводит во весь экран заставку, объявляя о своем присутствии и эффективно блокируя рабочий стол (так же поступали блокировщики прежнего поколения, в частности Reveton). Примечательно, что в этом англоязычном сообщении приведена ссылка на Google Переводчик, которым рекомендуется воспользоваться, если жертва говорит на другом языке. По свидетельству Proofpoint, эта ссылка, как и все прочие в сообщении на обоях, неактивна: жертва при всем желании не сможет ею воспользоваться с этого компьютера.

Удостовериться в том, что уплата выкупа снимает блокировку экрана, исследователям не удалось. Тем не менее на основании опыта знакомства с Reveton они высказали предположение, что такая функция по идее должна присутствовать в подобных вымогателях, то есть зараженный компьютер должен периодически соединяться с C&C, проверяя статус платежа.

Файлы с текстом требования выкупа, создаваемые CryptXXX в папках с зашифрованными данными, поменяли имя. Ранее это были de_crypt_readme с расширением .bmp, .txt или .html; версия 2 зловреда в качестве имени использует персональный ID, присвоенный жертве на основании данных ее машины.

Легкое изменение было также замечено на странице с инструкциями по совершению платежей: злоумышленники ныне именуют свой дешифратор Google Decrypter вместо Cryptowall Decrypter, как было ранее.

Способ распространения CryptXXX 2.006 остался прежним, вымогатели все так же предпочитают использовать вредоносные баннеры в качестве редиректоров на Angler, который доставляет блокера напрямую после отработки эксплойта или через посредника — Bedep.

Update. 13 мая утилита «Лаборатории Касперского» была обновлена и теперь применима и для CryptXXX 2.0.

Update 2. Bleeping Computer сообщает, что, увлекшись состязанием с ИБ-экспертами, авторы CryptXXX допустили катастрофическую ошибку: похоже, что обновление блокера до версии 3.0, вышедшей 21 мая, сломало их собственный декриптор. Жертвам обновленного зловреда не рекомендуется платить выкуп, ибо велик шанс, что, получив деньги, злоумышленники не смогут расшифровать файлы. Остается лишь надеяться, что «Лаборатория Касперского» выручит всех и на этот раз.

Категории: Аналитика, Вредоносные программы, Главное