Авторы CryptXXX заработали $50 тыс. за кампанию

Операторы быстро набирающего силу CryptXXX произвели апдейт, усовершенствовав шифрование и применив новые технологии защиты от обнаружения и анализа. По свидетельству SentinelOne, за две недели новейший вариант вымогателя успел добыть своим хозяевам порядка $50 тыс. в биткойнах.

Как пишет в блоге компании аналитик Калеб Фентон (Caleb Fenton), распространяется новый CryptXXX преимущественно в спаме. Этот соперник Locky появился совсем недавно, но быстро эволюционирует. Так, в конце мая была обнаружена очередная итерация CryptXXX, снабженная модулем для кражи учетных данных из приложений.

Как показал анализ, нынешнее обновление блокера призвано, прежде всего, устранить все возможные недочеты, позволяющие создавать инструменты для бесплатной расшифровки файлов. Так, декриптор, добавленный в специализированную утилиту «Лаборатории Касперского», не работает против CryptXXX 3.100, хотя распознает его и по-прежнему эффективен против версий 1 и 2 этого зловреда.

Новейший вариант CryptXXX, согласно SetinelOne, шифрует файлы, используя комбинацию RSA и RC4. При этом к имени зашифрованного файла добавляется расширение .cryp1 (ранее использовались .crypz и .crypt). Изучение содержимого биткойн-кошелька, указанного злоумышленниками для оплаты расшифровки, показало, что за период с 4 по 21 июня на него было осуществлено более 60 переводов по 1,2 или 2,4 биткойна.

Анализ нового сэмпла также обнаружил наличие дополнительной маскировки: полезная нагрузка была спрятана в копию DLL, используемой видеоредактором CyberLink PowerDVD Cinema. «Быстрая проверка свойств вредоносной DLL показала, что она, по всей видимости, использует элементы легитимной DLL, носящей имя _BigBang.dll», – пишет Фентон в блоге.

Даже после распаковки содержимое DLL выглядело «по большей части безвредным», однако более тщательный анализ подтвердил, что это лишь маскировка. Несколько импортируемых функций, связанных с шифрованием, показались исследователям явно неуместными. «Список экспорта слишком велик для программы, не выказывающей легитимной функциональности, – рассказывает далее эксперт. – Более того, импортируемые и экспортируемые функции разительно отличаются от функционала легитимной _BigBang.dll. Можно с уверенностью предположить, что эти функции включены для того, чтобы помешать анализу».

Вредоносная DLL запускается на исполнение подпрограммой дешифровки и разуплотнения. Распаковщик также определяет местоположение Windows-папки Startup, запрашивая ключ реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup. Это нужно для сохранения HTML-сообщения с требованием выкупа и инструкциями таким образом, чтобы оно отображалось при каждом старте компьютера.

«Проанализированный образец изначально исполнялся из ярлыка (файла .lnk), – отмечает Фентон. – Это короткий путь к rundll32.exe F0F3.tmp.dll, MSX3». Выполнение команды rundll32 загружает F0F3.tmp.dll, а затем подключается функция MSX3. «После получения адреса MSX3 исполнение переходит на этот адрес, и начинается шифрование файлов с выводом требования выкупа».