У вымогательской программы CryptXXX, которая шифрует и похищает пользовательские файлы, появился аналог, CrypMIC, распространяющийся с помощью тех же методов, в том числе набора эксплоитов Neutrino.
CrypMIC является подражателем CryptXXX: сходства прослеживаются в уведомлениях о выкупе и сайте оплаты. Обе вымогательские программы требуют за восстановление информации от 1,2 до 2,4 биткоинов.
CrypMIC две недели назад обнаружили исследователи Trend Micro. Как утверждают эксперты, две программы имеют сходства во многом. Так, в обеих вымогательских программах используется одно и то же имя для функции экспорта, а также собственный протокол, используемый для того, чтобы через TCP-порт 443 связываться с C&C-сервером.
Исследователи провели более подробный анализ и нашли различия в коде и функционале CrypMIC и CryptXXX. Например, CrypMIC не добавляет расширение к файлам, усложняя, тем самым, процесс поиска зашифрованной информации. Помимо этого, вымогательские программы применяют разнообразные компиляторы и техники запутывания кода. CrypMIC также проверяет систему на предмет наличия виртуальной машины и передает эти сведения на C&C-сервер, находящийся под контролем киберпреступников.
В CrypMIC используется алгоритм AES-256, способный шифровать 901 тип файлов и не имеющий механизма автозапуска. Вредоносная программа может произвести запуск процесса шифрования даже в виртуальной среде, передавая информацию на C&C-сервер. Помимо этого, CrypMIC применяет vssadmin, чтобы удалять теневые копии.
Специалисты утверждают, что CrypMIC является особо опасной программой для организаций, так как может осуществлять шифрование файлов на сетевых и съемных дисках. Однако CrypMIC, в отличие от CryptXXX, не может похищать информацию с зараженных компьютеров.
По мнению исследователей, выплата выкупа не является гарантией восстановления файлов. Инструмент для расшифровки данных, созданный разработчиками CrypMIC, нередко функционировал некорректно.