2014-07-18 - Landscape

"Crypto Ransomware" CTB-Locker (Critroni.A) on the rise

Critroni.A


Advertised since middle of june on Underground, CTB-Locker (Curve-Tor-Bitcoin Locker) is flagged Critroni.A by Microsoft. It seems at second half of june it was mainly used against russians, now it seems more widely used.

Text of the Advert :
------------------------------------------
CTB-Locker, Криптолокер нового поколения

Достоинства:
• Стойкая криптография на основе эллиптических кривых. Расшифровать файлы без оплаты невозможно. Стойкость эквивалента RSA-3072, что превышает все аналоги. При этом скорость шифрования значительно выше.
• Все ключи одноразовые и внести их в базу нельзя. Ключи абсолютно случайны, коллизии невозможны. У аналогов ключи зашиты в локер или сервер, их можно собрать.
• Размещение сервера в onion-домене (TOR), закрыть домен по абузе нельзя, практически невозможно отследить владельца и отключить сервер.
• Связь с сервером только после шифрования всех файлов. Невозможен ранний детект по трафику, невозможно блокировать работу локера. Блокирование TOR мешает только оплате юзеру, а не программе. Аналоги соединяются на сервер до крипта и их можно блокировать.
• Оплата в BTC. Кошелек невозможно блокировать и изъять. Деньги на сервере не хранятся. Утрата сервера не приводит к потере денег.
• Возможна оплата с другого комьютера. Коды для оплаты относительно короткие (около 150 символов), их можно переписать на бумажку. Аналоги оффлайн-оплаты не предоставляют, либо она не такая простая.
• Установка и автонастройка всего сервера с нуля за одну минуту с помощью инсталлятора! После запуска сервер не требуется администрировать.
• Встроенная поддержка партнерских схем.
• Размер локера менее 700кб включая все библиотеки и графику. Ничего не подгружается.
CTB - Сокращение от ключевых достоинств - Curve-Tor-Bitcoin

По запросу:
• Подключение обменников в интерфейс оплаты.
• Замена текстов и графики в интерфейсе локера, адаптации под разные языки (сейчас локер только на английском).
Схема работы локера:
• 1. Запуск ЕХЕ на машине юзера. Достаточно прав юзера.
• 2. Генерация случайного ключа шифрования. На машине и в оперативной памяти хранится только публичный ключ. Расшифровать с его помощью файлы нельзя.
• 3. Шифруются все доступные файлы с заданными расширениями. Проверяются все жесткие и съемные диски, все сетевые шары.
• 4. При перезагрузке операция продолжается с последнего файла.
• 5. После обработки всех файлов выводится окно юзеру с описанием его проблемы и схемы оплаты.
• 6. Производится запрос на сервер и передачу зашифрованного ключа. Либо сообщение юзеру адреса сервера и специального кода, по которому он может произвести оплату вручную.
• 7. Сервер в ответ генерирует Bitcoin-адрес, на который надо произвести оплату. Для каждого юзера адрес уникальный и отслеживание факта оплаты происходит именно по этому адресу.
• 8. Сервер мониторит транзакции bitcoin на предмет поступления денег на счет. Как только транзакция полностью прошла, то боту вычисляется и сообщается секретный ключ. Если был ручной ввод кода, то юзеру отдается небольшой ехе-декриптор с зашитым ключом, которым он может починить только свой комп. Размер декриптора 30кб, он не создаст нагрузку на канал серера и TOR-узлов.
• 9. Бот расшифровывает все файлы и самоудаляется.
• 10. Деньги с локального кошелька после проверки транзакции выводятся на основной bitcoin-адрес. В случае утраты сервера деньги не потеряются.
Прибыль от локера напрямую зависит от качества трафика. Вы можете выставить произвольную цену на анлок в зависимости от региона вашего трафика.
Для US,CA и EU рекомендованная цена 0.5 BTC ($320), для других регионов 0.25 BTC ($160).

Как установить и начать работу с локером.
• 1. Установить VDS с Windows 7/2003/2008/2012. Не менее 30Гб свободного места. Рекомендоманный диск с учетом самой ОС - 60-100Гб, по памяти и процессору высоких требований нет.
• 2. Запустить инсталлятор. Указать папку установки и базовую цену. Инсталлятор сам установит bitcoin, tor и собственный сервер. В процессе установки сгенерирует все ключи, домены, адреса, настроит все ПО.
• 3. После завершения установки вы получитие полностью рабочий сервер и в нужной папке появится билдер. С его помощью создаются экземпляры локера с зашитыми номером партнера, публичным ключом сервера и его адресом. Обратите внимание, что начальная синхронизация bitcoin может занять до суток времени. До окончания синхронизации не будет видно транзакций на оплату. Все остальное будет работать.
• 4. Готовый экземпляр локера можно криптовать и распространять.
• 5. Сервер пишет логи с информацией по инсталлам и оплатам, их можно пропарсить и вычислить выплаты партнерам. Следует помнить, что первый отстук происходит при завершении шифрования. Поэтому он может запаздывать от инсталла на несколько часов. Фейковые инсталлы (например, откат системы после установки или многократный инсталл на одну машину) не будут генерить отстук. Возможен отстук по инсталлу на сервер заказчика для учета трафика (может снизить пробив).
Цена локера составляет $3000 и включает месяц бесплатной поддержки.
Продление поддержки стоит всего $300 в месяц. Вы можете свободно пользоваться системой после окончания поддержки, запускать новые сервера, генерировать локеры. Вы будете только ограничены в обновлениях.
За сумму в $3000 получаете готовую систему "под ключ", она не требует настройки и доработки. Вам не надо никому ничего отчислять, она персонально ваша. Вы можете запускать множество различных серверов и локеров.
Вы можете запускать загрузки сразу после установки.

Возможна партнерская схема без крупных вложений. Обращайтесь в jabber, обсудим.


Акция в честь открытия сервиса.
Первый покупатель покупает локер c 50% скидкой всего за $1500. 
По акции обазятельна длительная регистрация на форуме и размещение отзыва.


Порядок покупки.
• 1. Отписаться в jabber. OTR обязателен.
• 2. Согласовать гаранта или escrow-сервис.
• 3. Сообщить свой bitcoin-адрес. Сгенерируйте адрес в чистом кошельке на отдельной машине, чтобы его нельзя было связать с вашими предыдущими транзакциями. Этот адрес будет прошит в сервер как получателя всех заработанных денег. Как покупатель вы сможете ставить сервер неограниченное количество раз с разными ключами и разными доменами, но выводить деньги можете только на один адрес. Не приобретайте продукт у левых людей, ваши деньги будут уходить им.
• 4. Оплатить гаранту стоимость.
• 5. Получить пакет инсталлятора, установить его на VDS Windows 7/2003/2008/2012 и проверить работу всей системы в течение 72 часов. Не запускайте локер на сервере!
• 6. Локер можно проверять локально на виртуалке, либо начать прогруз сразу. Для загрузок обязателен FUD крипт на любом сервисе.
• 7. Сообщить гаранту об успешной проверке.
Скрины:



jabber: [email protected]
------------------------------------------
Translated by google as :
------------------------------------------
CTB-Locker, Kriptoloker new generation 

Pros: 
• Persistent cryptography based on elliptic curves. Decrypt files without payment impossible. Equivalent resistance RSA-3072, exceeding all analogs. At the same encryption speed is much higher. 
• All keys are disposable and make them into the impossible. Keys are totally random, collisions are impossible. Do analogues locker keys or sewn into the server, they can collect. 
• Placing a server in onion-domain (TOR), close to domain abuse can not be practically impossible to trace the owner and shut down the server. 
• Connection to the server only after encryption of all files. Early Detection is not possible on the traffic, it is impossible to block the work of the locker. Blocking TOR prevents only payment the user, not the program. Analogs are connected to the server until the crypt and can block. 
• Payment in BTC. Purse impossible to block and remove. Money is not stored on the server. The loss of the server does not lead to loss of money. 
• You can pay with another Computer literacy. Codes to pay relatively short (about 150 characters), they can be rewritten on paper. Analogs offline payments do not offer, or it is not so simple. 
• Installation and auto-tuning the entire server from scratch in one minute with an installer! After starting the server does not want to administer. 
• Integrated support for partnership arrangements. 
• The size of the locker least 700kb including all libraries and graphics. Nothing loaded.
CTB - Reduction of the key advantages - Curve-Tor-Bitcoin 

On request: 
• Connecting exchangers in payment interface. 
• Replacement of text and graphics interface locker, adaptation to different languages ​​(now locker in English only). 
Scheme of locker: 
• 1. Run EXE on the machine user. Sufficient human user. 
• 2. Randomly generated encryption key. On the machine and stored in RAM only the public key. Decrypt files using it impossible. 
• 3. Encrypts all available files with the specified extensions. Scan all hard and removable drives, network all the balls. 
• 4. When you restart operation continues from the last file. 
• 5. After processing all files dialog box is displayed to the user with a description of the problem and its payment scheme. 
• 6. Request to the server and transmitting the encrypted key. Message to the user or server address and a special code that you can pay for it manually. 
• 7. Server in response generates Bitcoin-address to which we must pay. For each user a unique address and tracking is precisely the fact of payment at this address. 
• 8. Bitcoin transaction monitor server for receiving the money in the account. Once the transaction has completely passed, the bot is calculated and reported to the secret key. If you have to manually enter the code, then the user is given a small exe-wired key decryptor with which he can only fix your PC. Size 30kb decryptor, it will not create a burden on the channel Serer and TOR-nodes. 
• 9. Boat decrypts all files and deletes itself. 
• 10. Money from the local purse after checking transactions are displayed on the main bitcoin-address. In case of loss of the server will not lose money. 
Profit from the locker depends on the quality of traffic. You can set an arbitrary price for unlock depending on the region of your traffic. 
For US, CA and EU recommended price 0.5 BTC ($ 320), for other regions 0.25 BTC ($ 160). 

How to install and start working with the locker. 
• 1. Install VDS with Windows 7/2003/2008/2012. At least 30GB of free space. Rekomendomanny disk considering the OS - 60-100GB, memory and processor requirements not high. 
• 2. Run the installer. Specify the installation directory and the base price. The installer will install bitcoin, tor and own server. The installation process will generate all the keys, domains, addresses, configures all software. 
• 3. After installation is complete, you poluchitie server fully working and in the correct folder appears builder. With it instantiates the locker room with sewn partner, the public key of the server and its address. Note that the initial synchronization may take up to bitcoin days time. Before sync will not be seen for payment transactions. Everything else will work. 
• 4. Ready locker can copy and distribute kriptovat. 
• 5. Server writes log information installs and pay, they can parse and calculate payments to partners. It should be remembered that the first otstuk occurs at the completion of encryption. Therefore, it can be delayed by a few hours installs. Feykovye installs (such as the rollback system after installation or multiple installs on the same machine) is not longer generate otstuk. Chance otstuk installs on the server for customer traffic accounting (can reduce the sample). 
Price locker is $ 3,000 a month and includes free support. 
Extending support costs only $ 300 per month. You can freely use the system after the end of support to launch new server generate lockers. You will only be limited in future updates. 
For the sum of $ 3000 get ready system "turnkey", it does not require adjustment and refinement. You do not have anything to anybody to deduct it personally yours. You can run many different servers and lockers. 
You can start downloading immediately after installation. 

Can affiliate scheme without major investments. Contact jabber, discuss. 


Rally in honor of the opening of the service. 
The first buyer buys locker c 50% discount for just $ 1,500. 
On shares obazyatelna long registration on the forum and accommodation reviews. 


Order of purchase. 
• 1. Unsubscribe to jabber. OTR required. 
• 2. Guarantor or an escrow-service. 
• 3. Inform your bitcoin-address. Generate address in pure purse on a separate machine, so it can not be attributed to your previous transactions. This address will be sewn into the server as a recipient of all money earned. As a buyer, you can put the server unlimited number of times with different keys and different domains, but can withdraw money only to a single address. Do not purchase a product from people left, your money will go to them. 
• 4. Payment Guarantees worth. 
• 5. Get installer package, install it on VDS Windows 7/2003/2008/2012 to check the entire system for 72 hours. Do not run on the server locker! 
• 6. Locker can be checked locally on virtualke or progruz start immediately. To download required FUD crypt on any service. 
• 7. Report guarantor of a successful test. 
screens: 

jabber: [email protected]
------------------------------------------

He later mentioned :
------------------------------------------
27.06.2014 в 23:59 UTC продажи локера будут прекращены.Все кто кукил или купит локер будут получать обновления. Новые клиенты смогут только войти в партнерку.
------------------------------------------
Google translate this as :
------------------------------------------
06/27/2014 at 23:59 UTC sale locker will prekrascheny .Vse kukil who buys or locker will receive updates. New customers will only be able to enter the affiliate.
------------------------------------------

There are multiple instances in the wild. As advertised, some show two languages some show only English.

Here you can see it dropped as Second stage after Angler EK payload :

Critroni delivered as Second Stage - 2014-07-18
Angler EK payload : Spambot it seems.
079bf937d5020ca77ff97a5318414f07
2nd Stage Payload : Critroni.A
e89f09fdded777ceba6412d55ce9d3bc
<edit 2014-08-02> ncg.dat is flagged by Microsoft as Pitou.A </edit>

As advertised, encryption occurs without any connection.

Encrypted documents
ctbl extension
Some file access captured by cuckoo :

Critroni blindly try to open all mounted drives


CTB Locker/Critroni - Start (English)
(we can see the changed wallpaper in background)
The view button show you this :

Ctbl - List of encrypted document


CTB Locker/Critroni - Start (Russian)
(we can see the wallpaper in background)
CTB Locker/Critroni - Connecting (English)
CTB Locker/Critroni - Connecting (Russian)

Connexion Failed : Offline mode available.

Critroni - Offline Mode.

CTB Locker - Payment
1PAVxqYtWD1RBAjE5voSDnUSefGGUvCwpm
CTB locker Payment (a little more expensive)
12UrsknT8hqYGpi8NToS2GWCWaLKtR2UXn
(it's in fact > 200$)
On the one from today as Second stage of an Angler EK, we can see that the BTW to USD convertion is not ok.

0.04 BTW is in fact near 30usd
1N3qTaZsUqU2owUVjmijVyHB4uiid2JoXd



CTB locker (Payment in Russian)
If you don't have bitcoins :

CTB Locker - Exchange
The russian one is slightly different :

CTB Locker - Exchange (Russian)
When you click on Open List :

wiki page from en.bitcoin.it is opened.


Time Expired ?

Time Expired....one last chance.
In "my Documents"
Added in my Documents by Critroni.A
The wallpaper, the DecryptAll and list of encrypted documents


Wallpaper of one Critroni/CTB locker
html file stored in my documents
(the one we see when we select view on first screen)

Decrypt All
On tor
On tor after adding the public key :
1JXMiCkbrPiDWxoZ8oJ9yQZutHoaGQtXCF
Still in the time period. Offline (convertion rate is ok on Web UI,  was not on the locker) for that one
12UrsknT8hqYGpi8NToS2GWCWaLKtR2UXn
It seems to be a strong, well thought piece of malware.

Files: Critroni_2014-07-18

<Edit 2014-08-28>
Critroni has now a new step showing that decryption is indeed working :



Sample :  e226d6705c0bc4cddccc5c821341a05c
(Infection vector : Rig

RIG pushing Critroni 2014-08-28
)


</edit>