CrypMIC был замечен две недели назад исследователями из компании Trend Micro. По их словам, у двух семейств наблюдаются и другие схожие черты. Например, оба вымогателя используют одно и то же имя для функции экспорта (MS1, MS2) и собственный протокол для связи с C&C-сервером через TCP-порт 443.
В ходе более подробного анализа эксперты выявили различия в кодах и функционале CrypMIC и CryptXXX. В частности, первый не добавляет расширение к файлам, что усложняет выявление зашифрованного контента. Кроме того, вымогатели используют различные компиляторы и методы обфускации. Также CrypMIC определяет наличие виртуальной машины и отправляет информацию на C&C-сервер злоумышленников.
CrypMIC использует алгоритм AES-256, способен шифровать 901 тип файлов и не обладает механизмом автозапуска. Вредоносное ПО может запустить процедуру шифрования даже в виртуальной среде, отправляя данные на C&C-сервер. Кроме того, он использует vssadmin для удаления теневых копий.
По словам специалистов, CrypMIC представляет особую опасность для организаций, поскольку может шифровать файлы на съемных и сетевых дисках. Тем не менее, вредонос не способен похищать учетные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX.
Как отмечают исследователи, выплата выкупа не гарантирует возврат файлов. К примеру, в ряде случаев разработанный авторами CrypMIC декриптор работал некорректно.