24H Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.24 BTC, чтобы вернуть файлы. Оригинальное название: “24H” Ransomeware. На файле написано: нет данных.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение: .24H
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: ReadME-24H.txt
Содержание записки о выкупе:
Welcome to the “24H” Ransomeware! all your system information is encrypted. For receive the decryption program, transfer 0.24 bitcoins to 1FniWsB6T3n7GjBGs3UizspTshBvt9qFqR address and then send your request to the “24H@tutanota.com” and “24HDecryptor@Mail.ru” email addresses. Your Personal KEY: *** [redacted 256 bytes in base64]
Перевод записки на русский язык:
Добро пожаловать в "24H" Ransomeware! вся ваша системная информация зашифрована. Для получения программы дешифрования переведите 0.24 биткоина на адрес 1FniWsB6T3n7GjBGs3UizspTshBvt9qFqR, а затем отправьте ваш запрос на email-адреса 24H@tutanota.com и 24HDecryptor@Mail.ru. Ваш персональный КЛЮЧ: *** [отредактировано 256 байт в base64]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ReadME-24H.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: 24H@tutanota.com, 24HDecryptor@Mail.ru
BTC: 1FniWsB6T3n7GjBGs3UizspTshBvt9qFqR
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as 24H Ransomware) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
