Исследователи обезвредили последний штамм вымогателя CryptXXX v.3, выпустив дешифратор, который дополнил набор RannohDecryptor на портале No More Ransom.

Предыдущие версии дешифраторов помогали расшифровывать только часть файлов, пострадавших от атаки CryptXXX v.3, но теперь жертвы смогут расшифровать все файлы на компьютерах, зараженных этим вариантом вымогателя.

Это очень хорошие новости для пользователей и плохие — для разработчиков последней версии CryptXXX, одного из самых активных семейств вымогателей. Почти четверть жертв CryptXXX находятся в США, также пострадали жители России, Германии, Японии и ряда других стран.

В апреле исследователи опубликовали дешифратор для более ранней версии CryptXXX. К июню разработчики шифровальщика обновили код CryptXXX для обхода дешифратора и добавили модуль для похищения учетных записей. По распространенности и количеству заражений CryptXXX, по словам экспертов Proofpoint, вплотную приблизился к известному лидеру среди вымогателей — шифровальщику Locky.

В первой версии CryptXXX исследователям удалось воспользоваться критической уязвимостью в алгоритме шифрования и разработать дешифратор. Разработчики второй версии вымогателя, CryptXXX v.2, обновили код, но все же оставили дыры, благодаря чему исследователи «Лаборатории Касперского» смогли создать еще один дешифратор. Самая свежая версия дешифратора для CryptXXX v.3 также умеет расшифровывать файлы, зашифрованные предыдущими версиями вымогателя.

Согласно «Лаборатории Касперского», CryptXXX представляет собой DLL-библиотеку, написанную на Delphi; зловред использует различные алгоритмы шифрования. Эксперты «Лаборатории» рассказали, что вымогатель использует три метода шифрования: метод на основе RC4 с единым для всех файлов ключом и два других метода, использующих RC4 и RSA для шифрования файлов и RC4-ключей или же комбинацию RC4- и RSA-шифрования, в которой RC4 используется для шифрования файлов, а RSA — для некоторого содержимого файлов и RC4-ключей.

CryptXXX v.3 шифрует файлы, добавляя расширения .crypt, .cryp1 и .crypz.

В анализе зловреда исследователи указали, что, в отличие от Locky, который чаще всего распространяется через спам-кампании Dridex, CryptXXX раздается через эксплойт-паки Angler и Neutrino.

Как и в случае с более ранними версиями CryptXXX, третья версия вымогателя также содержит модуль stiller.dll, который загружается дополнительно на зараженные компьютеры. Он способен похищать учетные данные из 130 различных видов программ, таких как клиенты электронной почты, мессенджеры, веб-браузеры.

«Троянец демонстрирует требование выкупа только после того, как все файлы зашифрованы, а все имеющие ценность данные переданы на сервер атаки», — рассказали исследователи «Лаборатории».

Размер выкупа, который требуют разработчики последней версии CryptXXX, неизвестен. В июне с жертв CryptXXX v.2 требовали 1,3 биткойна ($1 тыс.).

«Лаборатория Касперского» уже выложила более десятка бесплатных дешифраторов для вариаций CoinVault, TeslaCrypt, Wildfire и Crybola. Полный список доступных утилит содержится на сайте No More Ransom.

Категории: Вредоносные программы, Главное, Кибероборона