{
	"id": "5f790f45-4575-4001-bb24-763b5c89b70b",
	"created_at": "2026-04-06T00:16:31.223603Z",
	"updated_at": "2026-04-10T03:20:54.714273Z",
	"deleted_at": null,
	"sha1_hash": "5fd192bbe8b7b943300897c1cd50eb4d9ea79955",
	"title": "CryptXXX \\ CrypMIC – intensywnie dystrybuowany ransomware w ramach exploit-kitów",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 226561,
	"plain_text": "CryptXXX \\ CrypMIC – intensywnie dystrybuowany ransomware\r\nw ramach exploit-kitów\r\nArchived: 2026-04-05 13:02:41 UTC\r\nW ostatnim czasie otrzymujemy zgłoszenia związane z infekcją ransomware znanym jako\r\nCryptXXX i jego naśladowcą CrypMIC.\r\nKampania\r\nZagrożenie pojawiło się kilka miesięcy temu jako moduł exploit-kita Neutrino. Infekcja następuje\r\npo wejściu na stronę na której publikowane są złośliwe reklamy (malvertising).\r\nCelem ataku jest głównie nieaktualna wtyczka Adobe Flash Player (wersje do 21.0.0.213, podatność\r\nCVE-2016-4117). Złośliwe oprogramowanie dystrybuowane jest zamiennie z ransomware takim jak\r\nCryptoWall, TeslaCrypt, CryptoLocker i Cerber.\r\nW ciągu dwóch tygodni czerwca twórcom CryptXXX udało się zarobić 70 BTC (na dzień wpisu\r\njest to około 160 000 PLN / 41 000 USD). Lukratywność tego przedsięwzięcia spowodowała\r\npojawienie się naśladowców, szukających szybkiego zarobku za pomocą malware określanego jako\r\nCrypMIC.\r\nBardzo rzadko zdarza się tyle podobieństw pomiędzy niespokrewnionymi rodzinami malware:\r\nDostarczane jako biblioteki .DLL (w niektórych wersjach ten sam entry-point:\r\nXMS0\\MMS0)\r\nSchemat nazewnictwa pliku w postaci: rad[losowy_ciąg_znaków].tmp.dll\r\nŻądany okup w wysokości 1,2 – 2,4 BTC\r\nNazwy plików z informacją o okupie róźnią się jedynie jedną literą (‚!’ na początku) i\r\nmają takie same rozszerzenia (.TXT, .BMP)\r\nWłasny protokół komunikacji po TCP (port 443)\r\nTakie same stringi, mające identyfikować (prawdopodobnie) kampanię\r\nSzyfrowanie udziałów sieciowych oraz dysków wymiennych podłączonych do\r\nkomputera w momencie infekcji\r\nZbliżony układ graficzny i tekst na bitmapach z żądaniem okupu, ustawianych jako\r\ntapeta na pulpicie\r\nSzczegóły techniczne CryptXXX\r\nCryptXXX jest napisany w Delphi i dystrybuowany, jak już wcześniej było wspomniane, jako\r\nbiblioteka DLL. Uruchamiany jest w systemie ofiary za pomocą rundll32.exe lub regsvr32.exe.\r\nhttps://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/\r\nPage 1 of 6\n\nPoniższy opis dotyczy wersji oznaczonej przez programistów jako 5.003 z dnia 25.07.16 (MD5:\r\nfb43d0a186f9952523a7e9ac1202da2a).\r\nPo infekcji do folderu autostart użytkownika dodawany jest skrót o nazwie\r\n[12_znakowy_identyfikator_użytkownika].lnk, który wyświetla po uruchomieniu systemu żądanie\r\nokupu. Malware ma również funkcję przesłonięcia pulpitu z wiadomością o okupie, co skutkuje\r\nniemożnością korzystania z systemu operacyjnego.\r\nhttps://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/\r\nPage 2 of 6\n\nStringi, które odpowiadają za realizację funkcjonalności CryptXXX są zaciemnione za pomocą\r\noperacji bitowej XOR ze stałą wartością 0xEh (widoczne na zrzucie ekranowym poniżej). Malware\r\nkorzysta jedynie z packera oraz niestandardowego protokołu komunikacji w celu utrudnienia\r\nanalizy. Nie ma natomiast funkcjonalności wykrywania i blokady analizy w debuggerach czy\r\nśrodowiskach wirtualnych.\r\nNa chwilę obecną szyfrowane są pliki o 933 rozszerzeniach (pełna lista rozszerzeń znajduje się\r\ntutaj). Programiści postarali się i na liście rozszerzeń, oprócz tych najpopularniejszych, znajdziemy\r\nrównież takie jak: mobilne formaty wideo, aplikacje Android APK czy projekty środowiska\r\nprogramistycznego Apple Xcode. Szyfrowanie następuje za pomocą kombinacji algorytmów RSA i\r\nRC4. Po infekcji domeny do opłacenia okupu otrzymywane są od C\u0026C.\r\nhttps://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/\r\nPage 3 of 6\n\nW wersji 5.001 wysyłany jest również moduł o nazwie fx100.dll, służący do wykradania danych z\r\nprzeglądarek internetowych, klientów poczty, klientów VPN czy komunikatorów. Niestety nie udało\r\nsię go pozyskać z ostatniej wersji próbki.\r\nSzczegóły techniczne CrypMIC\r\nW przeciwieństwie do swojego pierwowzoru CrypMIC wyróżnia sie dużo mniejszym\r\nskomplikowaniem – stringi nie są zaciemnione oraz nie jest wykorzystywany moduł służący do\r\nkradzieży danych. Również ilość rozszerzeń szyfrowanych plików jest mniejsza – jest ich\r\n„zaledwie” 901 (pełna lista rozszerzeń znajduje się tutaj). Pliki szyfrowane są za pomocą algorytmu\r\nAES-256. Opis dotyczy wersji z dnia 05.08.16 (MD5: 584a2227d62e9e29b770d98c4b83844d).\r\nCo ciekawe, CrypMIC potrafi wykryć uruchomienie w środowisku wirtualnym, jednak nie\r\nprzeszkadza mu to w szyfrowaniu plików. Warto wspomnieć również o kasowaniu kopii plików\r\nwykonanych za pomocą mechanizmu Volume Shadow Copy – operacja wymaga podniesienia\r\nuprawnień, co spowoduje wyświetlenie okienka z User Account Control. Nie udzielenie zgody w\r\ntym oknie spowoduje zablokowanie operacji i ciągłe jego wyświetlanie do momentu udzielenia\r\nuprawnień.\r\nAktualizacja 01.09.16\r\nFirma Fortinet odnotowała również ataki CrypMIC (błędnie rozpoznany we wpisie jako\r\nCryptXXX) w wersji .exe (MD5: 7bb58c27b807d0de43de40178ca30154). Poza zmianą sposobu\r\nuruchamiania nie odnotowaliśmy żadnych zmian w logice działania ransomware.\r\nhttps://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/\r\nPage 4 of 6\n\nJak sobie poradzić z ransomware?\r\nW chwili obecnej najpewniejszym sposobem odzyskania plików po zaszyfrowaniu, jest posiadanie\r\nich aktualnej kopii zapasowej. W przypadku CrypMIC programiści udostępnili niedziałający\r\nprogram deszyfrujący o nazwie Microsoft Decryptor – nawet po zapłaceniu okupu, odzyskanie\r\nplików było niemożliwe. Oczywiście należy również pamiętać o aktualizacjach zainstalowanego\r\noprogramowania, systemu operacyjnego oraz sygnatur malware.\r\nDla zaawansowanych użytkowników, godne polecenia są dwa programy: honeypot AntiRansom,\r\nktóry tworzy i monitoruje fałszywe pliki pakietu Office, wykrywa procesy próbujące je\r\nmodyfikować i je zamyka (dodatkowo tworzy zrzut pamięci procesu do późniejszej analizy), oraz\r\nProcFilter wykorzystujący reguły YARA do wykrywania niepożądanych procesów.\r\nW przypadku CryptXXX \\ CrypMIC infekcji są w stanie zapobiec blockery reklam i skryptów\r\n(uBlock Origin, NoScript, uMatrix), włączenie w przeglądarce funkcji click-to-play oraz aktualna\r\nprzeglądarka i komponent Adobe Flash Player.\r\nHashe próbek i reguły YARA\r\nCrypMIC (05/08/16) SHA256:\r\n52611b0c008fe84ecd68f89b9223c4a644935e42d7b8638dffe2e27552c2321e\r\nCrypMIC (wersja EXE) SHA256:\r\neb72bef17b4f62a3cef6e36385cbdd65cf916f36b28d86b37b2990e2fc9e5330\r\nCryptXXX (25/07/16) SHA256:\r\ndc527934c6b26e65ce9cfdcd026795e978a53b7ee9a672551990ee583ed2a083\r\nrule cryptxxx : ransomware\r\n{\r\nhttps://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/\r\nPage 5 of 6\n\nmeta:\r\nauthor=\"kamilf\"\r\nstrings:\r\n$string_decryption_loop = { 8B 55 FC 0F B7 54 5A FE 33 D7 66 89 54 58 FE 43 4E 75 E5 }\r\n$dll_entry_point = { ( 4D | 58 ) 4D 53 ( 30 | 31 | 32 ) }\r\n$file_encryption_loop = { 8B 45 E4 50 8D 45 E0 50 8D 85 5F FF FF FF 50 6A ?? 6A ?? 6A ?? }\r\n$ransom_wallpaper_creation = { 8D 45 ?? 50 6A ?? 8D 85 [4] 50 8B [2] 50 E8 [4] 89 45 ?? 33 D2\r\n55 68 [4] 64 FF 32 64 89 22 8B 45 ?? 50 }\r\ncondition:\r\n3 of ($string_decryption_loop, $dll_entry_point, $file_encryption_loop,\r\n$ransom_wallpaper_creation)\r\n}\r\nrule crypmic : ransomware\r\n{\r\nmeta:\r\nauthor=\"kamilf\"\r\nstrings:\r\n$vss_removal_tool = \"vssadmin\" wide\r\n$ransom_note_loop = { 8A 8A [4] 88 0C 10 42 81 FA [4] 72 EE }\r\n$readme_file_loop = { 8D 40 01 66 89 0C 17 8D 14 00 33 DB 0F B7 8A [4] 66 3B D9 }\r\n$victim_id = { F3 0F 7E 05 [4] A0 [4] 8B 96 [4] 66 0F [4] F3 0F 7E 05 [4] 66 0F [4] }\r\ncondition:\r\n2 of ($ransom_note_loop, $vss_removal_tool, $readme_file_loop, $victim_id)\r\n}\r\nSource: https://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/\r\nhttps://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "PL",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.cert.pl/news/single/cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow/"
	],
	"report_names": [
		"cryptxxx-crypmic-ransomware-dystrybuowany-ramach-exploit-kitow"
	],
	"threat_actors": [],
	"ts_created_at": 1775434591,
	"ts_updated_at": 1775791254,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/5fd192bbe8b7b943300897c1cd50eb4d9ea79955.pdf",
		"text": "https://archive.orkl.eu/5fd192bbe8b7b943300897c1cd50eb4d9ea79955.txt",
		"img": "https://archive.orkl.eu/5fd192bbe8b7b943300897c1cd50eb4d9ea79955.jpg"
	}
}