Mercury Ransomware
Planetary Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
Обнаружения:
DrWeb -> Trojan.Encoder.27993, Trojan.Encoder.27678
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Symantec -> Trojan.Gen.MBT
Malwarebytes -> Ransom.HiddenTear
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SB
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи
Этимология названия:
Первоначально (в декабре 2018 года) нам был известен только вариант с расширением .Mercury. Вымогатели напрямую не сообщили названия своего шифровальщика, а только использовали расширение с большой буквы. Поэтому я дал название статье и шифровальщику Mercury Ransomware. Позже появились варианты с другими расширениями. Затем появились варианты с названиями планет в расширениях и Майкл добавил общую идентификацию в группу Planetary, но "парад планет" продержался только три названия (Меркурий, Плутон, Нептун), видимо, на этом познания вымогателей в астрологии исчерпались.
К зашифрованным файлам добавляется расширение: .Mercury
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Китая и Японии.
Записка с требованием выкупа называется: !!!READ_IT!!!.txt
!!! ATTENTION, YOUR FILES WERE ENCRYPTED !!!
Please follow few steps below:
1.Send us your ID.
2.We can decrypt 1 file what would you make sure that we have decription tool!
3.Then you'll get payment instruction and after payment you will get your decryption tool!
Do not try to rename files!!! Only we can decrypt all your data!
Contact us:
getmydata@india.com
mydataback@aol.com
Your ID: [redacted 64 uppercase hex]:[redacted 64 uppercase hex with dashes]
[redacted 64 uppercase hex with dashes]:[redacted 64 uppercase hex with dashes]
Перевод записки на русский язык:
!!! ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
Пожалуйста, выполните несколько шагов ниже:
1. Отправьте нам свой ID.
2. Мы можем расшифровать 1 файл, что бы вы убедились, что у нас есть инструмент расшифровки!
3. После этого вы получите инструкцию по оплате и после оплаты получите инструмент для расшифровки!
Не пытайтесь переименовывать файлы !!! Только мы можем расшифровать все ваши данные!
Связь с нами:
getmydata@india.com
mydataback@aol.com
Твой ID: [тут 64 прописных hex-знака]:[тут 64 прописных hex-знака с тире]
[тут 64 прописных hex-знака с тире]:[тут 64 прописных hex-знака с тире]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!!!READ_IT!!!.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: getmydata@india.com
mydataback@aol.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 7 февраля 2019:
Пост в Твиттере >>
Расширение: .pluto
Записка: !!!READ_IT!!!.txt
Email: getmydata@india.com
mydataback@aol.com
Обновление от 10 февраля 2019:
Пост в Твиттере >>
Расширение: .mecury
Записка: !!!READ_IT!!!.txt
В расширении была допущена типичная ошибка для слова mercury.
Обновление от 4 марта 2019:
Пост в Твиттере >>
Расширение: .Neptune
Записка: !!!READ_IT!!!.txt
Обновление от 12 марта 2019:
Пост в Твиттере >>
Расширение: .yum
Записка: !!!READ_IT!!!.txt
Обновление от 21 марта 2019:
Пост в Твиттере >>
Расширение: .mira
Записка: !!!READ_IT!!!.txt
Результаты анализов: VT
Слово для расширения, видимо, было взято из видеоигры Xenoblade, где есть такая вымышленная планета Mira.
Обновление от 20 июня 2019:
Пост в Твиттере >>
Расширение: .Amigo-X3
recoverymydata@protonmail.com
mydatarecovery@india.com
Записка: !!!READ_IT!!!.txt
Результаты анализов: VT + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 1) Для зашифрованных файлов есть дешифровщик Скачать PlanetaryDecrypter для дешифровки >> Подробная инструкция прилагается. 2) Есть другой дешифровщик для варианта с расширением .mira Описание. Скачать дешифровщик Mira Ransomware по ссылке >>
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as Planetary) Write-up, Topic of Support *
Thanks: Michael Gillespie (ID Ransomware author) Andrew Ivanov (author of this blog) * *
© Amigo-A (Andrew Ivanov): All blog articles.
