Вымогатель CryptXXX получил важное обновление, способное обеспечить ему первенство среди конкурентов по рентабельности. До сих пор самым успешным криминальным проектом в этом отношении считался Locky.

Исследователи из Proofpoint зафиксировали релиз 3.100 криптоблокера 26 мая; по их свидетельству, CryptXXX обрел новый модуль StillerX, предназначенный для кражи учетных данных из разных приложений, от клиентов онлайн-казино до Cisco VPN.

«Новичок выглядит абсолютно так же, как CryptXXX, — отметил в ходе интервью Threatpost Кевин Эпштейн, вице-президент Proofpoint, ответственный за работу ее центра реагирования на интернет-угрозы. — Поскольку TelsaCrypt теперь вне игры, у Locky, похоже, появился соперник, способный составить конкуренцию по числу заражений и агрессивности распространения».

По словам Эпштейна, распространением нового CryptXXX занимается прежняя группировка, давно и успешно оперирующая эксплойт-паком Angler. «Следует ожидать, что площадь атаки CryptXXX значительно расширится, — предупреждает эксперт. — По скромным оценкам, они смогут обеспечить 50 тыс. заражений CryptXXX в сутки, и ежедневная выручка вымогателей возрастет до $100–200 тыс.».

По способу распространения CryptXXX отличен от Locky: последний зачастую раздается через спам-рассылки с ботнетов Dridex. Операторы CryptXXX со своей стороны отдают предпочтение редиректам на страницы с эксплойтами.

Целевые файлы CryptXXX 3.100 не только ищет на локальных и сменных дисках, но также сканирует шлюзовый порт 445 (используемый для соединений клиент — сервер в локальных сетях по протоколу SMB), с тем чтобы отыскать «общие ресурсы в сети, пересчитать файлы в каждой совместно используемой директории и поочередно их зашифровать», как сказано в блог-записи на сайте Proofpoint.

С выпуском итерации 3.100 был также обновлен интернет-портал, используемый злоумышленниками для управления платежами. Изменения коснулись в основном GUI-интерфейса и функций, связанных с блокировкой экрана. «CryptXXX отличают очень высокие темпы циклов разработки», — подтвердил Эпштейн.

Этот криптоблокер впервые появился на радарах Proofpoint 15 апреля; на тот момент он показывал устойчивый рост популяции. Экспансия пошла на спад с появлением адресного декриптора, который «Лаборатория Касперского» добавила в свою утилиту RannohDecryptor 26 апреля.

Согласно описанию RannohDecryptor на сайте техподдержки ИБ-компании, эта утилита исправно работает против первых двух версий CryptXXX, а третью распознает, но файлы не расшифровывает. Из этого следует, что она пока не способна помочь и в случае с CryptXXX 3.100.

Данный блокер опасен также тем, что не только шифрует файлы (добавляя расширение .crypt), но также копирует их, повышая риск кражи личности. Кроме того, CryptXXX умеет воровать биткойны, сохраненные на локальном диске.

Категории: Аналитика, Вредоносные программы, Главное