JungleSec Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: JungleSec (указано в заголовке записки о выкупе). Вероятно, что предназначен только для Linux-систем. Как оказалось позже: для Windows, Linux и Mac.
© Генеалогия: выясняется.
Это изображение только логотип статьи
К зашифрованным файлам добавляется расширение: .jungle@anonymousspechcom
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: ENCRYPTED.md
Содержание записки о выкупе:
───────────────────────────────────────────────────
JUNGLESEC
───────────────────────────────────────────────────
What happen to my data ?
-----------------------
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will result
to a fail of the recovery process, meaning your file(s) will be loss for good.
How can I retrieve them ?
-------------------------
- To known the process, you must first send 0.3 bitcoin to the following address : 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- Once the payment made, send your email address to junglesec@anonymousspeech.com, do not forget to mention the IP of server/computer
Will you send the process recovery once payment is made ?
--------------------------------------------------------
- We have no interest to not send you the recovery process if payment was made.
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours
By Jungle_Sec
Перевод записки на русский язык:
Что случилось с моими данными?
-----------------------
Ваши данные зашифрованы. Если вы попытаетесь выполнить команду brutforce, измените путь, имя или сделайте всё, что может изменить один байт файла (ов), это приведёт к сбою процесса восстановления, что означает, что ваш файл (ы) будет потерян для хорошего.
Как я могу их получить?
-------------------------
- Чтобы узнать о процессе, вы должны сначала отправить 0.3 биткойна на следующий адрес: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- После внесения платежа отправьте свой email-адрес на junglesec@anonymousspeech.com, не забудьте указать IP-адрес сервера / компьютера
Вы отправите процесс восстановления после того, как будет произведен платеж?
-------------------------------------------------- ------
- У нас нет интереса не отправлять вам процесс восстановления, если оплата была произведена.
- После того, как платеж будет произведён, вы должны получить процесс восстановления для дешифрования своих данных менее чем за 24 часа
Jungle_Sec
Технические детали
JungleSec заражает ПК через незащищенные карты IPMI (Intelligent Platform Management Interface). IPMI - это интерфейс управления, встроенный в материнские платы сервера или установленный как дополнительная карта, которая позволяет администраторам удаленно управлять компьютером, включать и выключать их, получать системную информацию и получать доступ к KVM, который предоставляет удаленный консольный доступ. Это полезно для управления серверами, особенно при аренде серверов у другой компании в удаленном центре размещения. Однако, если интерфейс IPMI настроен неправильно или использует пароли от производителя (по умолчанию), это может позволить злоумышленникам удаленно подключиться к вашим серверам и получить контроль над ними с использованием учетных данных по умолчанию.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ Использует программу шифрования ccrypt. После загрузки ccrypt, злоумышленники вручную запускают его для шифрования файлов жертвы. Команда, используемая злоумышленниками, вроде следующей:
/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib
После ввода этой команды злоумышленник вводит пароль, который затем будет использоваться для шифрования файлов.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ENCRYPTED.md
key.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: junglesec@anonymousspeech.com
BTC: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 15 марта 2020:
Пост в Твиттере >>
Расширения (без точек): junglesec@secmailpro
junglesec_secmailpro
Email: junglesec@secmail.pro
BTC: 1JHc83yqwnxt99f7VWJJbpfSzemnMRyj9p
Записка: ENCRYPTED.md
________________________
JUNGLESEC
________________________
/* WARNING */ :
If you do not want to lose the single data, do not attempt to reboot, shutdown or hot kill any working process :
- Doing so could result to a break and make not possible the recovery of one or multiples files.
/* WARNING */
I) What happen to my data ?
___________________________
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will most likely corrupt
it and made the recovery process not possible anymore, meaning your file(s) will be lost for good.
II) How can I retrieve them ?
________________________
- To known the process, you must first send 1.7 bitcoin to the following address : 1JHc83yqwnxt99f7VWJJbpfSzemnMRyj9p
- Once the payment made, send your email address to junglesec@secmail.pro, do not forget to mention the IP of server/computer
III) Will you send the process recovery once payment is made ?
_______________________________________________________________
- We have no interest to not send you the recovery process if payment is made.
- We can if requested, decrypt one file to prove that the recovery process is working. The file must not exceed 5MB and shall be upload to https://file.io
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours.
IV) Will you leak any data on internet ?
__________________________________________
- If payment is made, your data will not be leaked, otherwise, they made be leak or sell on the darknet
V) Can you tell us how this hack happened ?
___________________________________________
- In case you are in the dark on how this security problem did happen, you may ask for details, we will provide you the step by step what we did.
No supplementary bitcoin is required (this is only available if you have paid the ransom).
By Jungle_Sec
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as JungleSec) Write-up, Topic of Support *
Added later: JungleSec Ransomware... (add. December 26, 2018)
Thanks: Michael Gillespie Andrew Ivanov Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.
