Luką jaką głównie wykorzystuje oprogramowanie jest wtyczka Adobe w wersji 21.0.0.213 z kwietnia tego roku oraz wcześniejszych, w której wykryto lukę bezpieczeństwa o oznaczeniu CVE-2016-4117. Oprócz CryptXXX, który jest głównym składnikiem złośliwego oprogramowania hakerzy wykorzystują znane przez ekspertów oprogramowanie typu ransomware takie jak CryptoWall, TeslaCrypt, CryptoLocker i Cerber.
Według szacunków CERT w ciągu dwóch tygodni czerwca twórcom CryptXXX udało się zarobić 70 BTC (co przy kursie z 10 sierpnia tego roku daję 160 tys. złotych). Sukces tego przedsięwzięcia spowodowała pojawienie się naśladowców, szukających szybkiego zarobku za pomocą wirusa określanego jako CrypMIC. Według ekspertów z CERT, którzy zbadali oprogramowanie oba złośliwe oprogramowania mimo pochodzenia z innych rodzin są w tak wielu miejscach do siebie podobne.
- Dostarczane jako biblioteki .DLL (w niektórych wersjach ten sam entry-point: XMS0\MMS0) Schemat nazewnictwa pliku w postaci: rad[losowy_ciąg_znaków].tmp.dll
- Żądany okup w wysokości 1,2 – 2,4 BTC
- Nazwy plików z informacją o okupie róźnią się jedynie jedną literą (‚!’ na początku) i mają takie same rozszerzenia (.TXT, .BMP)
- Własny protokół komunikacji po TCP (port 443)
- Takie same stringi, mające identyfikować (prawdopodobnie) kampanię Szyfrowanie udziałów sieciowych oraz dysków wymiennych podłączonych do komputera w momencie infekcji
- Zbliżony układ graficzny i tekst na bitmapach z żądaniem okupu, ustawianych jako tapeta na pulpicie
Jak podają eksperci z CERT, sam wirusa CrytpXXX jest napisany w języku oprogramowania Delphi i jego dystrybucja odbywa się za pod przykrywką biblioteki DLL. Uruchamiany jest w systemie ofiary za pomocą rundll32.exe lub regsvr32.exe.
Po infekcji do folderu autostart użytkownika dodawany jest skrót o nazwie [12_znakowy_identyfikator_użytkownika].lnk, który wyświetla po uruchomieniu systemu żądanie okupu. Malware ma również funkcję przesłonięcia pulpitu z wiadomością o okupie, co skutkuje niemożnością korzystania z systemu operacyjnego – jak czytamy na stronie cert.pl.
Na chwilę obecną szyfrowane są pliki o 933 rozszerzeniach (pełna lista rozszerzeń znajduje się tutaj). Programiści postarali się i na liście rozszerzeń, oprócz tych najpopularniejszych, znajdziemy również takie jak: mobilne formaty wideo, aplikacje Android APK czy projekty środowiska programistycznego Apple Xcode. Szyfrowanie następuje za pomocą kombinacji algorytmów RSA i RC4. Po infekcji domeny do opłacenia okupu otrzymywane są od C&C. W wersji 5.001 wysyłany jest również moduł o nazwie fx100.dll, służący do wykradania danych z przeglądarek internetowych, klientów poczty, klientów VPN czy komunikatorów. Niestety nie udało się go pozyskać z ostatniej wersji próbki.
Zalecenia ekspertów z zespołu CERT.PL dotyczące radzenia sobie z złośliwym oprogramowaniem nie ograniczają się do przechowywanie kopii zapasowej ważnych danych oraz obrazu systemu na odseparowanym od urządzenia nośniku. W przypadku CrypMIC programiści udostępnili niedziałający program deszyfrujący o nazwie Microsoft Decryptor – nawet po zapłaceniu okupu, odzyskanie plików było niemożliwe. Oczywiście należy również pamiętać o aktualizacjach zainstalowanego oprogramowania, systemu operacyjnego oraz sygnatur malware.
Dla zaawansowanych użytkowników, godne polecenia są dwa programy: honeypot AntiRansom, który tworzy i monitoruje fałszywe pliki pakietu Office, wykrywa procesy próbujące je modyfikować i je zamyka (dodatkowo tworzy zrzut pamięci procesu do późniejszej analizy), oraz ProcFilter wykorzystujący reguły YARA do wykrywania niepożądanych procesów. W przypadku CryptXXX \ CrypMIC infekcji są w stanie zapobiec blockery reklam i skryptów (uBlock Origin, NoScript, uMatrix), włączenie w przeglądarce funkcji click-to-play oraz aktualna przeglądarka i komponent Adobe Flash Player.
Źródło: CERT.PL
Czytaj też: Raport: Ponad trzykrotny wzrost złośliwego oprogramowania przesyłanego za pomocą wiadomości e-mail