CryptInfinite 恢复工具
特征
CryptInfinite通过电子邮件附件传播,对用户文件进行加密的勒索软件 特征。
前言
这种勒索软件通过电子邮件附件传播,这些附件伪装成工作申请的简历。用户会知道他们感染了 CryptInfinate 勒索软件,因为他们将无法打开他们的文档,并且他们的数据文件将在加密文件的末尾附加一个 .crinf 扩展名。此外,每个包含加密文件的文件夹还将包含一个名为 ReadDecryptFilesHere.txt 的赎金票据。
工具使用说明
我们收到了很多关于一种新的勒索软件的报告,我们根据该勒索软件创建的 Windows 注册表项将其称为 CryptInfinite。由于在勒索软件可执行文件中发现了硬编码字符串,其他网站也将此勒索软件称为 DecryptorMax。乍一看,这个勒索软件看起来很安全,但在 Emisoft 的 Fabian Wosar 进一步检查后发现,可以在不支付赎金的情况下解密文件。考虑到这一点,Fabian 发布了一个名为 DecryptInfinite 的实用程序,可用于解密由 CryptInfinite Ransomware 加密的文件。可以在此处找到此勒索软件的专门支持主题,并提供帮助解密文件:DecryptorMax 或 CryptInfinite 勒索软件。CRINF 扩展支持主题。
这种勒索软件通过电子邮件附件传播,这些附件伪装成工作申请的简历。用户会知道他们感染了 CryptInfinate 勒索软件,因为他们将无法打开他们的文档,并且他们的数据文件将在加密文件的末尾附加一个 .crinf 扩展名。此外,每个包含加密文件的文件夹还将包含一个名为 ReadDecryptFilesHere.txt 的赎金票据。此赎金票据解释说,他们有 24 小时的时间将 PayPal MyCash 优惠券代码发送到恶意软件开发人员的电子邮件地址。与此勒索软件关联的已知电子邮件地址是 silasw9pa@yahoo.co.uk、decryptor171@mail2tor.com 和 decryptor171@scramble.io。
如果您感染了此恶意软件,只需从以下链接下载 decrypt_cryptinfinite.exe 并将其保存在您的桌面上。
为了找到您的解密密钥,您需要同时将加密文件和同一文件的未加密版本拖到 decrypt_cryptinfinite.exe 图标上。因此,您将同时选择文件的加密版本和未加密版本,并将它们都拖到可执行文件上。如果您没有某个加密文件的原始版本,在我们的测试中,您可以使用加密的 PNG 文件和从 Internet 上获得的任何其他未加密的 PNG 文件,并将它们一起拖到 decrypt_cryptinfinite.exe 图标上。确定用于加密其中一个文件的密钥后,您可以使用该密钥解密计算机上的所有其他文件。
要说明我所说的同时拖动两个文件的含义,请参阅下面的示例。为了创建密钥,我创建了一个文件夹,其中包含一个加密的 PNG 文件、一个完全不同的有效 PNG 文件和 decrypt_cryptinfinite.exe 程序。然后,我将常规 PNG 文件和加密文件同时拖动到可执行文件上。
如何将文件拖到 Decrypter 上
当程序启动时,您将看到一个 UAC 提示,如下所示。请点击 Yes 按钮继续。
UAC 提示符
您现在将看到一个屏幕,要求您选择勒索软件勒索字条中给出的电子邮件地址。请选择包含感染关联电子邮件地址的选项。
完成该部分后,程序将开始暴力处理,DecryptInfinite 会尝试检索您的解密密钥。请注意,此过程可能需要相当长的时间才能完成,因此请耐心等待。
暴力破解解密密钥
当一个键能够被暴力破解时,它将向它显示一个新窗口,如下所示。请记下此密钥,以备将来再次需要时使用。
找到解密密钥
要开始使用此密钥解密您的文件,请单击 OK 按钮。然后,您将看到一份许可协议,您必须单击“是”才能继续。您现在将看到主 DecryptInfinite 屏幕,其中显示注册表中列出的所有加密文件。
DecryptInfinite Screen 列出加密文件
查看加密文件列表,如果它们似乎都在那里,然后单击 解密 按钮。如果缺少文件,您可以单击 添加文件夹 按钮添加其他包含加密文件的文件夹。添加完所有要解密的文件夹后,单击 解密 按钮开始解密过程。单击解密后,DecryptInfinite 将解密所有加密文件并在结果屏幕中显示解密状态,如下所示。
解密结果
您的所有文件现在都应该被解密。 对于那些希望了解有关此勒索软件的更多技术信息的人,您可以阅读以下部分。如前所述,我们创建了一个专门的论坛主题来支持 CryptInfinite Ransomware 并提供使用此工具的帮助。可以在此处找到此支持主题:DecryptorMax 或 CryptInfinite Ransomware。CRINF 扩展支持主题
技术信息
该勒索软件目前的名称为 DecryptorMax 和 CryptInfinite,具体取决于您访问的站点。一些网站将其称为 DecryptorMax,因为可执行文件中硬编码的字符串,而我们和其他网站则将其称为 CryptInfinite,因为它制作的注册表项的名称。该勒索软件通过电子邮件传播,其中包含伪装成 Craig's List 上发布的职位的 Word 文档的工作简历。下面可以看到此 Word 文档的外观示例:
恶意 Word 文档
这些 Word 文档包含受密码保护和混淆的宏,这些宏从远程站点下载文件并将其保存到用户的 %AppData% 文件夹中,作为文件名XBMGERoOjZX.exe。然后执行该文件并最终下载并安装 CryptInfinite 勒索软件应用程序。下面可以看到混淆宏的屏幕截图。
混淆的单词 宏当执行 CryptInfinite 勒索软件时,它会创建一个与受害者关联的唯一 ID,将可执行文件复制到 %UserProfile%,并将文件命名为与此 ID 相同的名称。例如,如果受害者的唯一 ID 是 test-ADBFFA-G131,则文件名将命名为 test-ADBFFA-G131.exe。 然后,恶意软件将执行以下命令以删除所有卷影副本并禁用 Windows 启动修复。这些命令需要管理权限,因此将显示 UAC 或用户帐户控制,提示您是否希望允许执行 vssadmin.exe。 cmd.exe /k vssadmin.exe Delete Shadows /All /Quiet cmd.exe /k bcdedit.exe /set {default} recoveryenabled No cmd.exe /k bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures 勒索软件还将尝试终止用于恶意软件分析的常见应用程序。 TASKKILL /F /IM msconfig.exe TASKKILL /F /IM rstrui.exe TASKKILL /F /IM tcpview.exe TASKKILL /F /IM procexp.exe TASKKILL /F /IM procmon.exe TASKKILL /F /IM regmon.exe TASKKILL /F /IM wireshark.exe TASKKILL /F /IM LordPE.exe TASKKILL /F /IM regedit.exe TASKKILL /F /IM cmd.exe TASKKILL /F /IM filemon.exe TASKKILL /F /IM procexp64.exe CryptInfinite 现在将扫描计算机上的所有驱动器号,以查找与以下文件扩展名匹配的要加密的数据文件: *.ACCDB, *.BAY, *.DBF, *.DER, *.DNG, *.DOCX, *.DXF, *.ERF, *.INDD, *.MEF, *.MRW, *.ODB, *.ODP, *.PDD, *.PEF, *.PPTM, *.PSD, *.PTX, *.RAW, *.SRF, *.XLK, *.XLS, *.ach, *.aiff, *.arw, *.asf, *.asx, *.avi, *.back, *.backup, *.bak, *.bin, *.blend, *.cdr, *.cer, *.cpp, *.crt, *.crw, *.dat, *.dcr, *.dds, *.des, *.dit, *.doc, *.docm, *.dtd, *.dwg, *.dxg, *.edb, *.eml, *.eps, *.fla, *.flac, *.flvv, *.gif, *.groups, *.hdd, *.hpp, *.iif, *.java, *.kdc, *.key, *.kwm, *.log, *.lua, *.m2ts, *.max, *.mdb, *.mdf, *.mkv, *.mov, *.mpeg, *.mpg, *.msg, *.ndf, *.nef, *.nrw, *.nvram, *.oab, *.obj, *.odc, *.odm, *.ods, *.odt, *.ogg, *.orf, *.ost, *.pab, *.pas, *.pct, *.pdb, *.pdf, *.pem, *.pfx, *.pif, *.png, *.pps, *.ppt, *.pptx, *.prf, *.pst, *.pwm, *.qba, *.qbb, *.qbm, *.qbr, *.qbw, *.qbx, *.qby, *.qcow, *.qcow2, *.qed, *.raf, *.rtf, *.rvt, *.rwl, *.safe, *.sav, *.sql, *.srt, *.srw, *.stm, *.svg, *.swf, *.tex, *.tga, *.thm, *.tlg, *.vbox, *.vdi, *.vhd, *.vhdx, *.vmdk, *.vmsd, *.vmx, *.vmxf, *.vob, *.wav, *.wma, *.wmv, *.wpd, .wps, ..xlr, *.xlsb, *.xlsm, .xlsx, .yuv,.JPEG,.jpe, *.jpg 当勒索软件加密文件时,它会将 .crinf 扩展名附加到文件的末尾。在加密过程中,CryptInfinite 将排除路径中包含以下字符串的任何文件: Windows, Program Files, KEY, .crinf 对于每个加密的文件,它将添加一个注册表值此键:HKCU\Software\CryptInfinite\Files。例如: HKCU\Software\CryptInfinite\Files\11 C:\Users\Public\Pictures\Sample Pictures\Desert.jpg HKCU\Software\CryptInfinite\Files\12 C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg HKCU\Software\CryptInfinite\Files\13 C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg HKCU\Software\CryptInfinite\Files\14 C:\Users\Public\Pictures\Sample Pictures\Koala.jpg HKCU\Software\CryptInfinite\Files\15 C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg HKCU\Software\CryptInfinite\Files\16 C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg HKCU\Software\CryptInfinite\Files\17 C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg 它还将在 HKCU\Software\CryptInfinite 注册表项下添加有关安装以及安装是否完成的其他信息。创建的注册表值/项的完整列表是: 最后,它会将桌面壁纸更改为 C:\Users\z2.bmp,这也会显示勒索字条。 HKCU\Software\CryptInfinite HKCU\Software\CryptInfinite\Files HKCU\Software\CryptInfinite\Info HKCU\Software\CryptInfinite\Info\KEY 000000 HKCU\Software\CryptInfinite\Info\1 000000 HKCU\Software\CryptInfinite\Info\c 23 HKCU\Software\CryptInfinite\Info\m 57 HKCU\Software\CryptInfinite\Info\s 21 HKCU\Software\CryptInfinite\Info\Finish True HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft corporation C:\Users<login_name><id>.exe HKCU\Control Panel\Desktop\WallpaperStyle "0" HKCU\Control Panel\Desktop\Wallpaper "C:\Users<login_name>\z2.bmp" 在每个加密文件的文件夹中,它将创建一个名为 ReadDecryptFilesHere.txt 的文本文件赎金票据,其中包含以下信息: 您的个人文件已被加密! 您的文档、照片、数据库和其他重要文件已使用军用级加密算法进行加密。 解密文件的唯一方法是使用远程存储在我们服务器中的唯一解密密钥。在解密之前,您的所有文件现在 都无法使用。您有 24 小时支付解密密钥的释放费用。24 小时后,您的 解密密钥将被删除,您将永远无法恢复您的文件。 要获得您的唯一解密密钥,您需要使用 PayPal MyCash 代金券支付 500 美元。 如果未在 12 小时内发送付款,获取解密密钥的金额将为 1000 美元。 PayPal MyCash 代金券可在 CVS、7-Eleven、Dollar General、fred's Super Dollar、 Family Dollar 和许多其他商店购买。 -------------------------------------------------------------------------------------------------------------------------- 获得您的 PayPal MyCash 优惠券代码 后,您需要向 silasw9pa@yahoo.co.uk 发送 包含以下信息的电子邮件。
- 您的 500 美元 PayPal MyCash PIN 码 2.您的加密 ID = 在收到并验证优惠券后不久,您的所有文件将恢复到之前的状态。 所有付款均手动处理和验证,不要尝试发送无效的 PIN 码。
感染完成后,它将显示勒索软件的用户界面,该界面由两个屏幕组成。第一个屏幕包含有关文件发生情况的一些基本信息,如下所示。
CryptInfinite 赎金应用程序
第二个页面允许您检查和查看您的付款状态:
检查付款屏幕
如果您付款并得到确认,它将显示一个新屏幕,指出您应该下载解密器。此解密器的 url 被硬编码到可执行文件中,但该链接不再有效。硬编码的 url 为:https://github.com/m0nk8/tor/blob/master/DecryptorMAX.exe?raw=true
最后,壁纸更改为此图像:
壁纸 赎金记录
随着发现有关此勒索软件的更多信息,我们将更新第一篇文章以反映最新信息。
CryptInfinite 添加的文件: %AppData%\XBMGERoOjZX.exe %UserProfile%<id>.exe C:\Users<login_name>\z2.bmp
CryptInfinite 添加的注册表项: HKCU\Software\CryptInfinite HKCU\Software\CryptInfinite\Files HKCU\Software\CryptInfinite\Info HKCU\Software\CryptInfinite\Info\KEY 000000 HKCU\Software\CryptInfinite\Info\1 000000 HKCU\Software\CryptInfinite\Info\c 23 HKCU\Software\CryptInfinite\Info\m 57 HKCU\Software\CryptInfinite\Info\s 21 HKCU\Software\CryptInfinite\Info\Finish True HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft corporation C:\Users<login_name><id>.exe HKCU\Control Panel\Desktop\WallpaperStyle "0" HKCU\Control Panel\Desktop\Wallpaper "C:\Users<login_name>\z2.bmp"
