Обнаружен новый конкурент вымогательскому ПО CryptXXX

У вымогателя CryptXXX, не только шифрующего, но и похищающего файлы пользователей, появился новый соперник, который использует для распространения те же методы, в частности, набор эксплоитов Neutrino. Более того, новое вредоносное семейство CrypMIC подражает CryptXXX во всем, что касается предупреждений о выкупе и сайта оплаты. Оба вымогателя требуют одинаковые суммы за восстановление контента – от 1,2 до 2,4 биткойнов.

CrypMIC был замечен две недели назад исследователями из компании Trend Micro. По их словам, у двух семейств наблюдаются и другие схожие черты. Например, оба вымогателя используют одно и то же имя для функции экспорта (MS1, MS2) и собственный протокол для связи с C&C-сервером через TCP-порт 443.

В ходе более подробного анализа эксперты выявили различия в кодах и функционале CrypMIC и CryptXXX. В частности, первый не добавляет расширение к файлам, что усложняет выявление зашифрованного контента. Кроме того, вымогатели используют различные компиляторы и методы обфускации. Также CrypMIC определяет наличие виртуальной машины и отправляет информацию на C&C-сервер злоумышленников.

CrypMIC использует алгоритм AES-256, способен шифровать 901 тип файлов и не обладает механизмом автозапуска. Вредоносное ПО может запустить процедуру шифрования даже в виртуальной среде, отправляя данные на C&C-сервер. Кроме того, он использует vssadmin для удаления теневых копий.

По словам специалистов, CrypMIC представляет особую опасность для организаций, поскольку может шифровать файлы на съемных и сетевых дисках. Тем не менее, вредонос не способен похищать учетные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX.

Как отмечают исследователи, выплата выкупа не гарантирует возврат файлов. К примеру, в ряде случаев разработанный авторами CrypMIC декриптор работал некорректно.