Образец вымогательской программы Cryptonite реализует только базовую функциональность вымогательской программы. Оператор может настроить несколько вещей, таких как список исключений, URL сервера, адрес электронной почты и биткоин-кошелек. Однако шифрование и дешифрование очень просты и не являются надежными.
Он также не предоставляет ни одной из типичных (но более сложных) функций вымогательского ПО, включая:
- удаление теневого копирования Windows
- Разблокировка файлов для более тщательного воздействия
- Анти-анализ
- Защитное уклонение (обход AMSI, отключение регистрации событий и т.д.).
Несмотря на то, что этот вариант ransomware обеспечивает легкий вход для новичков в бизнес ransomware, он не является серьезным инструментом.
При выполнении вручную или в "песочнице" он сначала работает правильно. Он показывает индикатор выполнения, так как притворяется обновлением программного обеспечения. Однако на самом деле прогресс представляет собой ход шифрования.
Однако он никогда не отображает окно, позволяющее жертве начать процесс дешифрования с помощью ключа дешифрования. Конечно, для этого может быть много причин. Но одна из них заключается в том, что злоумышленник намеренно превратил эту вымогательскую программу в чистильщика.
Indicators of Compromise
URLs
- https://e4c0660414bf.eu.ngrok.io
Emails
- vlastyjanov@gmail.com
SHA1
- a891e774eeb9671ff2dd1334e1628ba18fb60575