CRYPTOSHIELD 1.0 RANSOMWARE

Un nuevo CryptoMix, o CrypMix, variante llamada CryptoShield 1.0 ransomware ha sido descubierto por el investigador de seguridad Proofpoint Kafeine se distribuye a través de EITest y el RIG exploit kit.

CryptoShield está siendo distribuido a través de los sitios que han sido manipulados o comprometidos de manera que cuando un visitante va al sitio, se encontrarán con la cadena de ataque EITest. EITest es un código de ataque JavaScript que se inyecta en los sitios de manera que será ejecutado por los visitantes. En la cadena de ataque observado por Kafeine, EITest cargará el RIG explotar kit que descargará más e instalar el ransomware CryptoShield en el equipo visitante.

Este ataque puede ser visto por debajo de donde el visitante va al sitio comprometido y encontrar la secuencia de comandos EITest. Esta secuencia de comandos a continuación, pone en marcha el código de otro sitio que activa el paquete de exploits para instalar CryptoShield.

A medida que explotan kits utilizan vulnerabilidades en el programa instalado para infectar un ordenador, es importante que los usuarios se aseguran de que todos los programas tienen las últimas actualizaciones instaladas. Esto es especialmente cierto para aquellos programas que interactúan con los documentos o los sitios en línea. Esto significa que las actualizaciones de programas como Adobe Flash y Reader, Oracle Java y Windows siempre deben instalarse cuando se ponen a disposición.

Cómo Cifra el CryptoShield 1.0 los archivos de la víctima

Una vez que el ejecutable ransomware es descargado y ejecutado en el ordenador de la víctima, que va a generar un identificador único para la víctima y una clave de cifrado. La infección entonces subir el identificador único y la clave privada de cifrado a su servidor de comando y control. A continuación, se procederá a examinar el equipo para archivos específicos y encriptación de las mismas.

La lista de extensiones dirigidas por CryptoShield son: .ACCDB, .MDB, .MDF, .DBF, .VPD, .SDF, .SQLITEDB, .SQLITE3, .SQLITE, .SQL, .SDB, .DOC, .DOCX, .ODT, .XLS, .XLSX, .ODS, .PPT, .PPTX, .ODP, .PST, .DBX, .WAB, .TBK, .PPS, .PPSX, .PDF, .JPG, .TIF, .PUB, .ONE, .RTF, .CSV, .DOCM, .XLSM, .PPTM, .PPSM, .XLSB, .DOT, .DOTX, .DOTM, .XLT, .XLTX, .XLTM, .POT, .POTX, .POTM, .XPS, .WPS, .XLA, .XLAM, .ERBSQL, .SQLITE-SHM, .SQLITE-WAL, .LITESQL, .NDF, .OST, .PAB, .OAB, .CONTACT, .JNT, .MAPIMAIL, .MSG, .PRF, .RAR, .TXT, .XML, .ZIP, .1CD, .3DS, .3G2, .3GP, .7Z, .7ZIP, .AOI, .ASF, .ASP, .ASPX, .ASX, .AVI, .BAK, .CER, .CFG, .CLASS, .CONFIG, .CSS, .DDS, .DWG, .DXF, .FLF, .FLV, .HTML, .IDX, .JS, .KEY, .KWM, .LACCDB, .LDF, .LIT, .M3U, .MBX, .MD, .MID, .MLB, .MOV, .MP3, .MP4, .MPG, .OBJ, .PAGES, .PHP, .PSD, .PWM, .RM, .SAFE, .SAV, .SAVE, .SRT, .SWF, .THM, .VOB, .WAV, .WMA, .WMV, .3DM, .AAC, .AI, .ARW, .C, .CDR, .CLS, .CPI, .CPP, .CS, .DB3, .DRW, .DXB, .EPS, .FLA, .FLAC, .FXG, .JAVA, .M, .M4V, .MAX, .PCD, .PCT, .PL, .PPAM, .PS, .PSPIMAGE, .R3D, .RW2, .SLDM, .SLDX, .SVG, .TGA, .XLM, .XLR, .XLW, .ACT, .ADP, .AL, .BKP, .BLEND, .CDF, .CDX, .CGM, .CR2, .CRT, .DAC, .DCR, .DDD, .DESIGN, .DTD, .FDB, .FFF, .FPX, .H, .IIF, .INDD, .JPEG, .MOS, .ND, .NSD, .NSF, .NSG, .NSH, .ODC, .OIL, .PAS, .PAT, .PEF, .PFX, .PTX, .QBB, .QBM, .SAS7BDAT, .SAY, .ST4, .ST6, .STC, .SXC, .SXW, .TLG, .WAD, .XLK, .AIFF, .BIN, .BMP, .CMT, .DAT, .DIT, .EDB, .FLVV, .GIF, .GROUPS, .HDD, .HPP, .M2TS, .M4P, .MKV, .MPEG, .NVRAM, .OGG, .PDB, .PIF, .PNG, .QED, .QCOW, .QCOW2, .RVT, .ST7, .STM, .VBOX, .VDI, .VHD, .VHDX, .VMDK, .VMSD, .VMX, .VMXF, .3FR, .3PR, .AB4, .ACCDE, .ACCDR, .ACCDT, .ACH, .ACR, .ADB, .ADS, .AGDL, .AIT, .APJ, .ASM, .AWG, .BACK, .BACKUP, .BACKUPDB, .BANK, .BAY, .BDB, .BGT, .BIK, .BPW, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CE1, .CE2, .CIB, .CRAW, .CRW, .CSH, .CSL, .DB_JOURNAL, .DC2, .DCS, .DDOC, .DDRW, .DER, .DES, .DGC, .DJVU, .DNG, .DRF, .DXG, .EML, .ERF, .EXF, .FFD, .FH, .FHD, .GRAY, .GREY, .GRY, .HBK, .IBANK, .IBD, .IBZ, .IIQ, .INCPAS, .JPE, .KC2, .KDBX, .KDC, .KPDX, .LUA, .MDC, .MEF, .MFW, .MMW, .MNY, .MONEYWELL, .MRW, .MYD, .NDD, .NEF, .NK2, .NOP, .NRW, .NS2, .NS3, .NS4, .NWB, .NX2, .NXL, .NYF, .ODB, .ODF, .ODG, .ODM, .ORF, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PDD, .MTS, .PLUS_MUHD, .PLC, .PSAFE3, .PY, .QBA, .QBR, .QBW, .QBX, .QBY, .RAF, .RAT, .RAW, .RDB, .RWL, .RWZ, .S3DB, .SD0, .SDA, .SR2, .SRF, .SRW, .ST5, .ST8, .STD, .STI, .STW, .STX, .SXD, .SXG, .SXI, .SXM, .TEX, .WALLET, .WB2, .WPD, .X11, .X3F, .XIS, .YCBCRA, .YUV, .MAB, .JSON, .MSF, .JAR, .CDB, .SRB, .ABD, .QTB, .CFN, .INFO, .INFO_, .FLB, .DEF, .ATB, .TBN, .TBB, .TLX, .PML, .PMO, .PNX, .PNC, .PMI, .PMM, .LCK, .PM!, .PMR, .USR, .PND, .PMJ, .PM, .LOCK, .SRS, .PBF, .OMG, .WMF, .SH, .WAR, .ASCX, .K2P, .APK, .ASSET, .BSA, .D3DBSP, .DAS, .FORGE, .IWI, .LBF, .LITEMOD, .LTX, .M4A, .RE4, .SLM, .TIFF, .UPK, .XXX, .MONEY, .CASH, .PRIVATE, .CRY, .VSD, .TAX, .GBR, .DGN, .STL, .GHO, .MA, .ACC, .DB

Cuando CryptoShield encuentra un archivo apuntado lo cifra mediante el cifrado AES-256, cifrar el nombre de archivo usando ROT-13 y, a continuación, añadir la extensión .CRYPTOSHIELD al archivo cifrado. Por ejemplo, un archivo llamado prueba.jpg se cifra y se renombró como grfg.wct.CRYPTOSHIELD. Se pueden descifrar los nombres de archivo mediante el uso de cualquier dispositivo de cifrado ROT-13, tales como rot13.com.

En cada carpeta que CryptoShield cifra un archivo, sino que también creará notas de rescate con nombre #restauración de archivos .HTML y # # restauración de archivos .TXT.

Durante este proceso, el ransomware emitirá los siguientes comandos para desactivar la recuperación de inicio de Windows y para borrar las instantáneas de volumen de Windows Shadow como se muestra a continuación.

  • cmd.exe /C bcdedit /set {default} recoveryenabled No
  • cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
  • "C:\Windows\System32\cmd.exe" /C net stop vss

CryptoShield mostrará una alerta falsa que indica que hubo un error de aplicación en Explorer.exe. Al principio, no estaba seguro de si se trataba de un error producido por el ransomware o simplemente un explorer.exe se estrella. A medida que lea la alerta de cerca, sin embargo, se puede ver faltas de ortografía como "momory" y una extraña petición que usted debe hacer clic en el botón Sí en la ventana siguiente "para restaurar explorer.exe trabajo".

Una vez que se pulsa OK en el mensaje anterior, se le presentará con un mensaje del Control de cuentas de usuario, que le pregunta si desea permitir que el comando "C:\Windows\SysWOW64\wbem\Wmic.exe" llamado proceso de creación de "C:\Users\usuario\SmartScreen.exe" para ejecutar. Esto explica por qué se estaba mostrando la alerta previa, para convencer a la víctima de que deben hacer clic en el boton Sí en el símbolo de abajo UAC.

Una vez que la víctima hace clic en Sí, el ransomware se iniciará de nuevo y mostrar el # # restauración de archivos .HTML nota de rescate.

Esta nota de rescate contiene información con respecto a lo que pasó con sus archivos, un ID de identificación personal, y tres direcciones de correo electrónico que se pueden utilizar para ponerse en contacto con el desarrollador de rescate por las instrucciones de pago. Las direcciones de correo electrónico actuales son restoring_sup@india.com , restoring_sup@computer4u.com , y restoring_reserve@india.com.

Por desgracia, como ya se ha dicho que NO hay manera para descifrar los archivos cifrados actualmente por CryptoShield gratis.

Archivo asociado con el CryptoShield CrypMix


C:\ProgramData\MicroSoftWare\
C:\ProgramData\MicroSoftWare\SmartScreen\
C:\ProgramData\MicroSoftWare\SmartScreen\SmartScreen.exe
%AppData%\Roaming\1FAAXB2.tmp
[encrypted_file_name].CRYPTOSHIELD
# RESTORING FILES #.HTML
# RESTORING FILES #.TXT

Registro de entradas asociadas con la CryptoShield CrypMix Variante: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows SmartScreen" = "C:\ProgramData\MicroSoftWare\SmartScreen\SmartScreen.exe"

Fecha actualización el 2017-2-1. Fecha publicación el . Categoría: Ransomware. Autor: Mapa del sitio
CryptoShield