CrypMIC Ransomware ahmt CryptXXX nach

Originalartikel von Kawabata Kohei

Die neue Ransomware-Familie CrypMIC, von Trend Micro als RANSOM_CRYPMIC erkannt, ahmt bezüglich Eintrittspunkt, Lösegeldforderung und Zahlungsseite CryptXXX nach. Die Hintermänner wollen wahrscheinlich im Nachgang die jüngsten Erfolge von CryptXXX wiederholen.

CrypMIC und CryptXXX haben vieles gemeinsam: beide werden über das Neutrino Exploit Kit verteilt und nutzen dasselbe Format für sub-versionID/botID (U[6 Ziffern] / UXXXXXX]) und Export Funktionsname (MS1, MS2). Auch nutzen beide ein angepasstes Protokoll via TCP Port 443 für die Kommunikation mit ihren Command-and-Control (C&C)-Servern. Bei näherem Hinsehen finden sich aber Unterschiede im Quellcode und den Fähigkeiten. Für Einzelheiten siehe Originalartikel.

Das Verschwinden des Angler Exploit Kits aus Crypto-Ransomware-Aktivitäten hat CryptXXX zum Neutrino Exploit Kit gebracht, das in letzter Zeit auch andere Ransomware-Familien wie CryptoWall, TeslaCrypt, CryptoLocker und Cerber auslieferte.

CrypMIC und CryptXXX wurden innerhalb einer Woche abwechselnd von Neutrino verteilt. CryptXXX 5.001 ist kein richtiges Versions-Update und bringt nur kleine Änderungen.

Bild 1. Das Analyse-Tool Cuckoo Sandbox zeigt, dass CryptXXX 4.001 wie schon die Vorgänger Login-Daten aus verschiedenen Anwendungen stiehlt.

CrypMIC und CryptXXX sind vor allem für Unternehmen riskant, denn sie verschlüsseln Dateien auf Wechselmedien und Netzwerklaufwerken. CrypMIC kann nur dann Netzwerkfreigaben verschlüsseln, wenn sie auf ein Laufwerk gemappt sind. CryptXXX wiederum scannt Maschinen auf Netzwerklaufwerke und verschlüsselt dann die dort gespeicherten Dateien. Der Schädling lädt auch Module mit Information Stealern herunter und führt sie aus. Diese sammeln Login-Daten und dazu gehörige Informationen von:

  • Drive-Mapping Tools (FTP, WebDAV, HTTTP und SFTP clients)
  • Windows-basierten Dateimanagern
  • Clients von verteilten Dateisystemen, die Remote Dateien wie die aus der Cloud verwalten
  • Remote Desktop Tools (RDP, VNC servers)
  • VoIP und Internet Dialer
  • Video Chat Software
  • Web Application Frameworks (i.e. ASPNET)
  • VPN-Clients
  • Instant Messaging Clients
  • Download Manager
  • Webbrowser
  • Email Clients
  • Online Gaming Software

Neben regelmäßigen Backups können die Risiken auch dadurch gemindert werden, dass Systeme immer auf aktuellem Stand gehalten werden. Sehr empfehlenswert aber ist eine mehrschichtige Verteidigung, die Systeme, Server und Netzwerke sichert.

Trend Micros Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht.

Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Zugehörige SHA1s:

  • C6415524E1C8EA3EAD8C33EFF8E55E990CA5579E – RANSOM_CRYPMIC.A
  • 156FB73151D136FE601134C946C3D50168996217 – RANSOM_CRYPMIC.A
  • 7B4A57BC9D96B79DE49462B9EA37D1B1F202C99C – RANSOM_WALTRIX.YUYALG (CryptXXX 4.001)
  • 704901B890019351E1C9C984FFB32C7F5F4D3BA6 – RANSOM_WALTRIX.YUYALG (CryptXXX 4.001)
  • 3F43B713CE057E1930E724488BB8E6433C44A4E6 – RANSOM_WALTRIX.YUFG (CryptXXX 5.001)
  • 4E020D18863815AE6042D5B4B07080F0F9A6DB0D – RANSOM_WALTRIX.YUFG (CryptXXX 5.001)
  • A31D130B1BA2A74996C233B862A796B810DA26AC – TSPY_STILLER.B (fx100.dll)

Zusätzliche Analysen von  Joseph C. Chen und Jaaziel Carlos

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.