Eq Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Eq. На файле написано: Eq.exe.
Обновление:
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.MalwareCrypter.hjqdd
BitDefender -> Trojan.GenericKD.31398426
DrWeb -> Trojan.Encoder.26879
ESET-NOD32 -> Win32/Filecoder.NTP
Kaspersky -> Trojan-Ransom.Win32.Gen.kvh
Rising -> Trojan.Generic@ML.83 (RDMK:iJWRtepgyjcR9d43EUpwLQ)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Gen.Ammh
TrendMicro -> Ransom.Win32.FILECRYPTOR.THABAOAH
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам добавляется расширение: .fuck
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Штамп времении: 5 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: README_BACK_FILES.htm
Содержание записки о выкупе:
YOUR PERSONAL ID:
0xa1G17GYUlZSGl0bGpjSWxBUEFGUnE=
YOUR FILES ARE ENCRYPTED!
TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW.
To recover data you need decryptor.
To get the decryptor you should:
Send 1 crypted test image or text file or document to supportonl@cock.li ||| supportonl@airmail.cc
In the letter include your personal ID (look at the beginning of this document).
We will give you the decrypted file and assign the price for decryption all files
We can decrypt one file in quality the evidence that we have the decoder.
MOST IMPORTANT!!!
Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services. No one, except supportonl@cock.li ||| supportonl@airmail.cc, will decrypt your files.
Only supportonl@cock.li ||| supportonl@airmail.cc can decrypt your files. Do not trust anyone besides supportonl@cock.li ||| supportonl@airmail.cc
Antivirus programs can delete this document and you can not contact us later.
Attempts to self-decrypting files will result in the loss of your data
Перевод записки на русский язык:
ВАШ ЛИЧНЫЙ ID:
0xa1G17GYUlZSGl0bGpjSWxBUEFGUnE =
Ваши файлы зашифрованы!
Чтобы расшифровать, следуйте инструкциям ниже.
Для восстановления данных вам нужен расшифровщик.
Чтобы получить расшифровщик, вы должны:
Отправьте 1 зашифрованное тестовое изображение или текстовый файл или документ на supportonl@cock.li ||| supportonl@airmail.cc
В письме укажите свой личный ID (смотрите в начале этого документа).
Мы дадим вам расшифрованный файл и назначим цену за расшифровку всех файлов.
Мы можем расшифровать один файл в качестве доказательства того, что у нас есть декодер.
САМОЕ ВАЖНОЕ!!!
Не связывайтесь с другими службами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны! Они купят у нас декодер, а вы заплатите больше за его услуги. Никто, кроме supportonl@cock.li ||| supportonl@airmail.cc, не расшифрует ваши файлы.
Только supportonl@cock.li ||| supportonl@airmail.cc может расшифровать ваши файлы. Не доверяйте никому, кроме supportonl@cock.li ||| supportonl@airmail.cc
Антивирусные программы могут удалить этот документ, и вы не сможете связаться с нами позже.
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов с помощью команды:
cmd /c vssadmin delete shadows /all /quiet
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README_BACK_FILES.htm
Eq.exe
twitchru.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\twitchru.exe
Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\FUCK "hmFaIYHitljcIlAPAFRq" "twitchru.exe"
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: supportonl@cock.li, supportonl@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Не было обновлений.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (n/a) Write-up, Topic of Support 🎥 Video review >>
- Видеообзор от CyberSecurity GrujaRS
Thanks: GrujaRS, Emmanuel_ADC-Soft Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
