воскресенье, 12 января 2020 г.

5ss5c

5ss5c Ransomware

5ss5cCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название указано в коде: 5ss5c. На файле написано: cpt.exe, mmkt.exe и прочее.

Обнаружения:
DrWeb -> Trojan.DownLoader32.46970
BitDefender -> Gen:Trojan.Downloader.fmqaa08eR0ii
McAfee -> RDN/Generic Downloader.x
Rising -> Dropper.Generic!8.35E (CLOUD)
TrendMicro -> TROJ_GEN.R002C0DAE20
Symantec -> Downloader


© Генеалогия: Satan (Satan RaaS) >> DBGer > 5ss5c

К зашифрованным файлам добавляется расширение: .5ss5c

Название зашифрованного файла модифицируется. 
Примеры зашифрованных файлов:
_[5ss5c@mail.ru]27946.FE7UMK4S8NHJOYNPBFOHENPPGSXA7UFU8Y891WMZ.5ss5c
_[5ss5c@mail.ru]toc.FE7UMK4S8NHJOYNPBFOHENPPGSXA7UFU8Y891WMZ.5ss5c
_[5ss5c@mail.ru]data_0.URKM837X06H8HMWOT7YH9TGBOWD20HQ6IHHH8FQB.5ss5c

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на китайских и китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _如何解密我的文件_.txt

Содержание записки о выкупе:
部分文件已经被加密
如果你想找回加密文件,发送 (1) 个比特币到我的钱包
从加密开始48小时之内没有完成支付,解密的金额会发生翻倍.
如果有其他问题,可以通过邮件联系我
您的解密凭证是 : 
***
Email:[5ss5c@mail.ru]

Перевод записки на русский язык:
Некоторые файлы зашифрованы
Если вы хотите получить зашифрованный файл, отправьте (1) биткойн на мой кошелек
Если платеж не будет завершен за 48 часов с начала шифрования, сумма расшифровки удвоится.
Если у вас есть другие вопросы, вы можете связаться со мной по электронной почте
Ваши данные для расшифровки:
***
Email:[5ss5c@mail.ru]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск.


Список файловых расширений, подвергающихся шифрованию:
Шифрует только сжатые файлы. 
Среди них могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
down.txt.exe, cpt.exe, mmkt.exe, poc.exe, blue.exe, c.exe
_如何解密我的文件_.txt
<ransom_note>.txt - название текстового файла
<random>.exe - случайное название вредоносного файла
5ss5c_token

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\blue.exe
и другие

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы: 
5ss5c_CRYPT
SSSS_Scan

Сетевые подключения и связи:
Email: 5ss5c@mail.ru
BTC:
URL: xxxx://58.221.158.90:88/car/c.dat
xxxx://58.221.158.90:88/car/cpt.dat
xxxx://58.221.158.90:88/car/down.txt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as 5ss5c)
 Write-up, Topic of Support
 * 
 Thanks: 
 jishuzhain, James, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 10 января 2020 г.

Afrodita

Afrodita Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA, а затем требует связаться с вымогателями через аккаунт в Telegram, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Afrodita. На файле написано: нет данных. Разработчик: Afrodita Team. 

Обнаружения:
DrWeb -> Trojan.Encoder.30535
BitDefender -> Gen:Variant.Graftor.415704
Symantec -> Downloader
ESET-NOD32 -> A Variant Of Win32/Filecoder.Afrodita.C, VBA/TrojanDownloader.Agent.BNC
Microsoft -> Trojan:Win32/Wacatac.B!ml
VBA32 -> BScope.Trojan.Casur
Rising -> Ransom.Encoder!8.FFD4 (CLOUD), Heur.Macro.Downloader.f (CLASSIC)

© Генеалогия: LockerGoga >> Afrodita
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Сообщается, что в конце 2019 года уже была некоторая активность. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __README_RECOVERY_.txt

Содержание записки о выкупе:
~~~ Greetings ~~~
[+] What has happened? [+]
Your files are encrypted, and currently unavailable. You are free to check.
Every file is recoverable by following our instructions below.
Encryption algorithms used: AES256(CBC) + RSA2048 (military/government grade).
[+] Guarantees? [+]
This is our daily job. We are not here to lie to you - as you are 1 of 10000's.
Our only interest is in us getting payed and you getting your files back.
If we were not able to decrypt the data, other people in same situation as you
wouldn't trust us and that would be bad for our buissness --
So it's not in our interest.
To prove our ability to decrypt your data you have 1 file free decryption.
If you don't want to pay the fee for bringing files back that's okey,
but remeber that you will lose a lot of time - and time is money.
Don't waste your time and money trying to recover files using some file
recovery "experts", we have your private key - only we can get the files back.
With our service you can go back to original state in less then 30 minutes.
[+] Service [+]
If you decided to use our service please follow instructions below.
Contact us:
Install Telegram(available for Windows,Android,iOS) and contact us on chat:
Telegram contact: xxxxs://t.me/RecoverySupport
Also available at email afroditateam@tutanota.com cc: afroditasupport@mail2tor.com
Make sure you are talking with us and not impostor by requiring free 1 file decryption to make sure we CAN decrypt!!
������������������������������������������������������������������

Перевод записки на русский язык:
~~~ Привет ~~~
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить.
Каждый файл можно восстановить, следуя нашим инструкциям ниже.
Используемые алгоритмы шифрования: AES256 (CBC) + RSA2048 (военный/правительственный уровень).
[+] Гарантии? [+]
Это наша ежедневная работа. Мы здесь не для того, чтобы лгать вам - вы 1 из 10000-х.
Наш единственный интерес в том, чтобы нам платили, а вы возвращали свои файлы.
Если бы мы не смогли расшифровать данные, другие люди, находящиеся в такой же ситуации, как вы, не доверяли бы нам, и это было бы плохо для нашего бизнеса -
Так что это не в наших интересах.
Чтобы доказать нашу способность расшифровать ваши данные, у вас есть 1 файл бесплатной расшифровки.
Если вы не хотите платить за возврат файлов, это нормально,
но помните, что вы потеряете много времени - а время это деньги.
Не тратьте свое время и деньги, пытаясь восстановить файлы с помощью "экспертов" по ??восстановлению файлов, у нас есть ваш закрытый ключ - только мы можем получить файлы обратно.
С нашим сервисом вы можете вернуться к исходному состоянию менее чем за 30 минут.
[+] Сервис [+]
Если вы решили воспользоваться нашим сервисом, пожалуйста, следуйте инструкциям ниже.
Связаться с нами:
Установите Telegram (доступно для Windows, Android, iOS) и свяжитесь с нами в чате:
Контакт телеграммы: xxxxs://t.me/RecoverySupport
Также доступно по email afroditateam@tutanota.com cc: afroditasupport@mail2tor.com
Убедитесь, что вы разговариваете с нами, а не c самозванцем, требуя бесплатную расшифровку одного файла, чтобы убедиться, что мы МОЖЕМ расшифровать!
***


---
После основного текста имеются символы в кодировке UCS-2 Little Endian. Если открыть записку в программе Notepad++ и конвертировать в UTF-8, то можно увидеть эту белиберду. 

Вот как это будет выглядеть после "танцев с бубном", т.е. с Notepad++. 


 



Технические детали

Распространяется с помощью email-спама и вредоносных вложений. Ранние сообщения о вредоносных вложениях были их Хорватии, см. скриншоты писем на хорватском языке. 

 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3DS, .3FR, .3PR, .AB4, .AC2, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACR, .ADB, .AGD1, .AIT, .APJ, .APK, .ARCH00, .ARW, .ASM, .ASP, .ASSET, .AVI, .AWG, .BACKUP, .BACKUPDB, .BAK, .BAR, .BAY, .BC6, .BC7, .BDB, .BGT, .BIG, .BIK, .BKF, .BKP, .BLEND , .BLOB, .BMP, .BPW, .BSA, .CAS, .CDF, .CDR, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CDX, .CE1, .CE2, .CER, .CFP, .CFR, .CGM, .CIB, .CLASS , .CLS, .CMT, .CPI, .CPP, .CR2, .CRAW, .CRT, .CRW, .CSH, .CSL, .CSS, .CSV, .D3DBSP, .DAC, .DAS, .DAT, .DAZIP , .DB0, .DB3, .DBA, .DBF, .DB-JOURNAL, .DC2, .DCR, .DCS, .DDD, .DDOC, .DDRW, .DER, .DESC, .DESIGN, .DGC, .DJVU, .DMP, .DNG, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DRF, .DRW, .DWG, .DXB, .DXF, .DXG, .EPK, .EPS, .ERBSQL, .ERF, .ESM, .EXF, .EXIF, .FDB, .FFD, .FFF, .FHD, .FLV, .FORGE , .FOS, .FPK, .FPX, .FSH, .FXG, .GDB, .GHO, .GIF, .GRAY, .GREY, .GRY, .HBK, .HKDB, .HKX, .HPLG, .HPP, .HTM, .HTML, .HVPL, .IBANK , .IBD, .IBZ, .ICXS, .IDX, .IIQ, .INCPAS, .INDD, .ITDB, .ITL, .ITM, .IWD, .IWI, .JAVA, .JFIF, .JPE, .JPEG, .JPG, .KC2, .KDB, .KDBX, .KDC, .KPDX, .LAYOUT, .LBF, .LITEMOD, .LRF, .LTX, .LUA, .LVL, .M3U, .M4A, .MAP, .MCMETA, .MDB, .MDBACKUP, .MDC, .MDDATA, .MDF, .MEF, .MENU, .MFW, .MKV, .MLX, .MMW, .MONEYWELL , .MOS, .MOV, .MP3, .MP4, .MPG, .MPQGE , .MRW, .MRWREF, .MSG, .MYD, .NCF, .NDD, .NEF, .NOP, .NRW, .NS2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .NTL, .NWB, .NX1, .NX2, .NYF, .ODB, .ODC, .ODF, .ODG, .ODM, .ODP, .ODS, .ODT, .ORF, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PAK, .PAT, .PCD, .PDD, .PDF, .PEF, .PEM, .PFX, .PHP, .PKPASS, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSAFE3, .PSD, .PSK, .PST, .PTX, .QDF, .QIC, .R3D, .RA2, .RAF, .RAR, .RAW, .RDB, .RE4, .RGSS3A, .RIM, .ROFL, .RTF, .RW2, .RWL, .RWZ, .S3DB, .SAS7BDAT, .SAV, .SD0, .SD1, .SDA, .SDF, .SID, .SIDD, .SIDN, .SIE, .SIS, .SLDM, .SLDX, .SLM, .SLN, .SNX, .SQL, .SQLITE, .SQLITE3, .SQLITEDB, .SR2, .SRF, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .STD, .STI, .STW, .STX, .SUM, .SVG, .SXC, .SXD, .SXG, .SXI, .SXM, .SXW, .SYNCDB, .T12, .T13, .TAX, .TOR, .TXT, .UPK, .VCF, .VDF, .VFS0, .VPK, .VPP_PC, .VTF, .W3X, .WALLET, .WB2, .WMA, .WMO, .WMV, .WOTREPLAY , .WPD, .WPS, .X3F, .XLA, .XLAM, .XLK, .XLL, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XXX, .YCBCRA, .ZIP, .ZTMP (360 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Перезаписывается заголовок зашифрованного файла неким кодом.

Пропускаются системные и программные директории:
Windows
Program Files
Program Files (x86)
ProgramData
AppData
All Users
и другие

Файлы, связанные с этим Ransomware:
__README_RECOVERY_.txt
notnice.jpg {DLL/EXE}
<random>.exe - случайное название вредоносного файла
Afrodita.dll
client-encrypted-private.key
client-public.key
main-public.key
_uninsep.bat
Ponuda-2020-0231.xlsm - email-вложение на хорватском языке

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
F:\Work\x_Projects\Afrodita - VS2019\Afrodita\cryptopp\rijndael_simd.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
835821AM3218SAZ

Сетевые подключения и связи:
Email: afroditateam@tutanota.com, afroditasupport@mail2tor.com
Telegram: @RecoverySupport
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
☣️ VX Vault samples >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >> 
Ⓥ VirusBay samples >>
MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + myTweet
 ID Ransomware (ID as Afrodita)
 Write-up, Topic of Support
 Thanks: 
 James, KorbenD, S!Ri, GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 9 января 2020 г.

Ako, MedusaReborn

Ako Ransomware

MedusaReborn Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компьютеров в локальной сети, работающих под управлением Windows (в том числе Windows 10), с помощью AES, а затем требует выкуп в 0.5-1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.MulDrop11.33124
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win32/Filecoder.MedusaLocker.D
Microsoft -> Ransom:Win32/MedusaLocker!MTB
Rising -> Ransom.AKO!1.C19E (CLOUD)

© Генеалогия: ✂️ MedusaLocker >> Ako, MedusaReborn
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random> или .<random{6}>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ako-readme.txt

Содержание записки о выкупе:
Your network have been locked.
All your files, documents, photos, databases and other important data are encrypted and have the extension: .2Zrl5j
Backups and shadow copies also encrypted or removed. Any third-party software may damage encrypted data but not recover.
From this moment, it will be impossible to use files until they are decrypted.
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recovery your files.
To get info (decrypt your files) follow this steps:
1) Download and install Tor Browser: https://www.torproject.org/download/
2) Open our website in TOR: xxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB
3) Paste your ID in form (you can find your ID below)
!! ATTENTION !!
!! Any third - party software may damage encrypted data but not recover.
!! DO NOT MODIFY ENCRYPTED FILES
!! DO NOT CHANGE YOUR ID
!! DO NOT REMOVE YOUR ID.KEY FILE
 --- BEGIN PERSONAL ID --- 
eyJleHQiOiIuMlpybDVqIiwgImtleSI6InozNWRzcEZaOFltMEs0bW4xQVNrZE0
*** [всего 556 знаков]
 --- END PERSONAL ID ---

Перевод записки на русский язык:
Ваша сеть заблокирована.
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы и имеют расширение: .2Zrl5j
Резервные копии и теневые копии также шифруются или удаляются. Любая сторонняя программа может повредить зашифрованные данные, но не восстановить.
С этого момента будет невозможно использовать файлы, пока они не будут расшифрованы.
Единственный способ восстановления файлов - это покупка уникального закрытого ключа.
Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Чтобы получить информацию (расшифровать ваши файлы), выполните следующие действия:
1) Загрузите и установите браузер Tor: https://www.torproject.org/download/
2) Откройте наш веб-сайт в TOR: xxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB
3) Вставьте свой ID в форму (вы можете найти свой ID ниже)
!! ВНИМАНИЕ !!
!! Любая сторонняя программа может повредить зашифрованные данные, но не восстановить.
!! НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
!! НЕ ИЗМЕНЯЙТЕ СВОЙ ID
!! НЕ УДАЛЯЙТЕ СВОЙ ID.KEY ФАЙЛ


Запиской с требованием выкупа также выступает сайт вымогателей: 

Начальная страница сайта, без ввода кода
 Верхняя часть страницы сайта после ввода кода
Нижняя часть страницы сайта после ввода кода

Содержание страницы сайта:
Your files have been locked!
Whats happened?
All documents, photos, databases and other important files encrypted
How to decrypt files?
The only way to decrypt your files is to
receive the m9V742-Decryptor
Are you ready?
We guarantee that you can recover all your files.
But you have not so enough time.
Buy m9V742-Decryptor
Price now: 0.4806 BTC (~3800$)
You have: 3 days. 08:34:43
If payment isnt made in this time, the cost will be doubled: 0.9613 BTC (~7600$)
    Buy m9V742-Decryptor
    Support Chat
1. Create Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins - 0.4806 BTC
3. Send 0.4806 BTC to the address: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc
4. After payment paste your transaction id in this form.
5. If payment is done - reload current page.
---
You can buy BTC here
coinbase.com
bitpanda.com
cex.io
gemini.com
buybitcoinworldwide.com

Перевод страницы сайта на русский язык: 
Ваши файлы блокированы!
Что случилось?
Все документы, фотографии, базы данных и другие важные файлы зашифрованы
Как расшифровать файлы?
Единственный способ расшифровать ваши файлы - это получить m9V742-Decryptor
Вы готовы?
Мы гарантируем, что вы можете восстановить все ваши файлы.
Но у вас не так много времени.
Купить m9V742-Decryptor
Цена сейчас: 0.4806 BTC (~ 3800 $)
У вас есть: 3 дня. 8:34:43
Если оплата не будет произведена в это время, стоимость будет удвоена: 0,9613 BTC (~ 7600 $)
     Купить m9V742-Decryptor
     Чат поддержки
1. Создайте биткойн-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткойнов - 0.4806 BTC
3. Отправьте 0,4806 BTC по адресу: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc
4. После оплаты вставьте идентификатор вашей транзакции в эту форму.
5. Если оплата сделана - перезагрузите текущую страницу.
---
Вы можете купить BTC здесь
coinbase.com
bitpanda.com
cex.io
gemini.com
buybitcoinworldwide.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Rig EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
wmic.exe SHADOWCOPY /nointeractive

Список файловых расширений, подвергающихся шифрованию:
Почти все типы файлов, кроме пропускаемых. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые типы файлов с расширениями:
.exe,. dll, .sys, .ini, .lnk, .key, .rdp


Пропускаемые папки с файлами: 
Folder Blacklist:
AppData
Program Files
Program Files (x86)
AppData
boot
PerfLogs
ProgramData
Google
Intel
Microsoft
Application Data
Tor Browser
Windows

➤ Во время шифрования Ako использует функцию GetAdaptersInfo для получения списка сетевых адаптеров и связанных с ними IP-адресов. Затем выполняет проверку ping любых локальных сетей, используя функцию IcmpSendEcho, чтобы создать список отвечающих машин. Любые машины, которые ответят на запрос, будут проверены на наличие общих сетевых ресурсов для шифрования.




Когда вымогатель закончит работу, ключ шифрования, используемый для шифрования файлов жертвы, тоже будет зашифрован и сохранен в файле с именем  id.key на Рабочем столе жертвы.

Файлы, связанные с этим Ransomware:
ako-readme.txt - название текстового файла
id.key
DllHost.exe
<random>.exe - случайное название вредоносного файла
Agreement.zip ( Agreement.scr) - email-вложение, которое устанавливает шифровальщика (пароль на архив - 2020). 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\akocfg
См. ниже результаты анализов.

Файловый маркер:
CECAEFBE

Сетевые подключения и связи:
Tor-URL: xxxx://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion/AHXYFYBKTAXNGRZB
Email: - 
BTC: 1DUBrMcH9T13oFSa59jxtFDM5eWTP8v2yc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + myTweet
 ID Ransomware (ID as Ako / MedusaReborn)
 Write-up, Write-up,  Topic of Support
 * 
 Thanks: 
 S!Ri, Vitali Kremez, Raby, MHT, Michael Gillespie, 
 Andrew Ivanov (author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton