Операторы вымогателя CryptXXX уже второй раз с начала июня обновили форму сообщения с требованием выкупа и дизайн onion-сайта для платежей. Однако создателям антивирусных сигнатур и сисадминам важнее будет другая новость: CryptXXX больше не изменяет расширения файлов после шифрования.

«Чтобы осложнить жизнь администраторам, этот релиз больше не использует специальные расширения для зашифрованных файлов, — подтвердил Лоуренс Абрамс (Lawrence Abrams) в новой записи на сайте BleepingComputer. — Файлы теперь сохраняют имена, присвоенные им до шифрования».

Новейший вариант CryptXXX обнаружил исследователь и постоянный автор блога ISC SANS Брэд Дункан (Brad Duncan). В ходе мониторинга трафика, генерируемого эксплойт-паком Neutrino в рамках текущей кампании псевдо-Darkleech, эксперт обратил внимание на изменения в активности блокера, установленного на Windows-машину в результате эксплойта.

Так, инструкции по уплате выкупа были обновлены и направляют жертву на другой сайт в сети Tor, который называется тоже по-новому — Microsoft Decryptor. Предыдущая попытка ребрендинга, по данным BleepingComputer, была предпринята 1 июня, тогда злоумышленники начали именовать свой сайт Ultra Decryptor.

«Эта версия не предлагает способ контакта с разработчиками вымогательского ПО на тот случай, если у жертвы возникнут затруднения с платежом», — отметил также Абрамс.

cryptxxx-microsoft-decryptor

Дункан со своей стороны приводит анализ недавно появившегося трафика Neutrino на IP-адресе 198[.]71[.]54[.]211. По свидетельству эксперта, в текущей кампании операторы этого эксплойт-пака, как и прежде, используют технику «затенения доменов», которая ранее наблюдалась у Angler.

«Трафик после заражения регистрировался на 91[.]220[.]131[.]147, на TCP-порту 443, при этом использовалось кастомное шифрование, характерное для CryptXXX с момента его появления», — пишет Дункан, добавляя, что текстовая и HTML-версия инструкций по расшифровке загружаются в открытом виде в ходе обмена с C&C после заражения. Абрамс в своей блог-записи перечислил все файлы с требованием выкупа, ассоциируемые с новой версией CryptXXX, — это README.html, README.bmp и README.txt.

CryptXXX — один из наиболее активных современных вымогателей; перевод его схемы доставки на Neutrino в начале июня послужил одним из первых сигналов скоропостижного сворачивания операций Angler. Со времени своего появления этот блокер обновлялся много раз и научился шифровать не только локальные, но и сменные диски, а также воровать учетные данные из приложений. Распространяется CryptXXX весьма агрессивно, в масштабных кампаниях используются скомпрометированные сайты-редиректоры; в настоящее время он раздается в рамках псевдо-Darkleech, известной ИБ-экспертам с марта 2015 года.

Категории: Аналитика, Вредоносные программы