Pony Ransomware
Pony_XXX Ransomware
05ntoar0 Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
© Генеалогия: предыдущие варианты >> Pony
К зашифрованным файлам добавляется расширение: .crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx
Примеры зашифрованных файлов:
photo001.png.crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx
mytext.txt.crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образцы этого крипто-вымогателя были найдены в начале февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В записке предлагается три интерфейса: на английском, итальянском и русском. На данный момент ничего неизвестно об распространении.
Записка с требованием выкупа в раннем варианте отсутствовала.
Тут нет записки
Тут есть HTML-записка
В новом варианте записка называется:
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.HTML
Содержание записки о выкупе:
XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX
All your personal files have been encrypted
English Russian Italian
Your Personal Identifier
[tZpal+X7kVs7q0rimOC/rS7koabJXmTe]
Buy 0.50 Bitcoin here:
https://localbitcoins.com/ru/
Send them to this bitcoin wallet:
1NeJEFzY8PbVS9RvYPfDP93iqXxHjav791
Send us your personal identifier by mail:
pizdasobaki@protonmail.com
Receive decoder in reply :)
Перевод записки на русский язык:
XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX
Все ваши личные файлы зашифрованы
Английский Русский Итальянский
Ваш личный идентификатор
[tZpal+X7kVs7q0rimOC/rS7koabJXmTe]
Купи 0.50 Bitcoin тут:
https://localbitcoins.com/ru/
Пришли их на этот биткоин-кошелек:
1NeJEFzY8PbVS9RvYPfDP93iqXxHjav791
Пришли нам твой персональный идентификатор на почту:
pizdasobaki@protonmail.com
Получи декодер в ответ :)
Технические детали
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.a, .a3w, .aac, .abk, .abr, .ace, .acr, .act, .ad, .adf, .adm, .adp, .adr, .ai, .aif, .ani, .ans, .ape, .apk, .arc, .arj, .as, .asc, .asf, .asp, .ato, .aty, .au, .au3, .avi, .axx, .b3d, .b64, .bak, .bas, .bat, .bfc, .bg, .bin, .bk2, .bmp, .bnk, .bps, .bpt, .brk, .btoa, .bv1, .bwp, .bz, .bz2, .c, .cab, .cal, .cam, .cas, .cbl, .cbt, .cda, .cdr, .cdt, .cfb, .cfg, .cfl, .cfm, .cgm, .chk, .cl, .cl3, .cl4, .cla, .clg, .clk, .cll, .clo, .clp, .clr, .cls, .cmd, .cmv, .cne, .cnf, .cnt, .cnv, .cob, .cod, .com, .cpe, .cpi, .cpl, .cpp, .cpt, .cr2, .crd, .crt, .crw, .css, .csv, .cue, .cur, .cv5, .cvi, .cvs, .cvx, .cxf, .cxx, .d, .daa, .daf, .dat, .db, .db2, .dbc, .dbf, .dbk, .dbm, .dbo, .dbq, .dbt, .dbv, .dbw, .dbx, .dcm, .dcr, .dcu, .dcx, .dds, .deb, .dev, .dib, .dif, .djvu, .dll, .dmd, .dmf, .dmo, .dmp, .dms, .dne, .dng, .doc, .docx, .dos, .dot, .dpr, .drv, .drw, .dsk, .dt_, .dta, .dtd, .dtf, .dtm, .dun, .dwf, .dwg, .dx, .dxf, .dxn, .dxr, .dyn, .ecw, .eeb, .eef, .eft, .ega, .elg, .emf, .eml, .emu, .enc, .end, .eng, .env, .epg, .eps, .eqn, .erd, .erm, .err, .esh, .evt, .ex3, .exc, .exd, .exp, .ext, .fcp, .fdf, .fes, .ff, .ffa, .fff, .ffl, .ffo, .fft, .ffx, .fits, .flac, .flv, .fnd, .fon, .fpb, .fpr, .fpx, .fqy, .fr3, .frc, .frm, .fro, .frp, .frs, .frt, .frx, .frz, .fsc, .fsh, .g3, .gho, .gif, .gr2, .gr3, .gra, .grb, .grf, .grp, .gz, .h, .hbk, .hdl, .hdr, .hdx, .hex, .hfi, .hgl, .hh, .hhh, .hhp, .his, .hlp, .hpgl, .hqx, .hsq, .hss, .hst, .hta, .htm, .html, .htt, .ica, .icb, .icc, .ice, .icl, .icm, .icn, .ico, .ics, .id, .idb, .idd, .ide, .idf, .idq, .idx, .iff, .ifo, .ima, .img, .inf, .ini, .ins, .ipd, .ipf, .iso, .iw44, .iwa, .j2k, .jar, .jas, .jef, .jng, .jp2, .jpc, .jpeg, .jpg, .jpm, .js, .jsb, .jsd, .jse, .jsh, .jsm, .json, .jsp, .jss, .jt, .jtf, .jtk, .jtp, .jw, .jwl, .jzz, .k2p, .kar, .kbc, .kdc, .kdp, .kfx, .kye, .lbm, .ldf, .lgc, .lha, .lib, .lnk, .log, .lwf, .lwp, .lzh, .mac, .mbx, .mcd, .md, .mda, .mdb, .mde, .mdf, .mdl, .mdm, .mdn, .mdp, .mdt, .mdw, .mdx, .mdz, .meb, .med, .mem, .mht, .mid, .mim, .mix, .mk3d, .mka, .mks, .mkv, .mme, .mng, .mod, .mov, .mp1, .mp2, .mp3, .mp4, .mpg, .mpp, .mrw, .msc, .msi, .msn, .msp, .mtf, .mtm, .mtv, .mtw, .mu, .mul, .mup, .mus, .mvb, .mve, .mvf, .mwp, .mxd, .mxt, .myd, .n64, .na2, .nab, .nap, .ndf, .nds, .ndx, .nef, .nes, .neta, .nfo, .ngf, .ngg, .nhf, .nil, .nil, .nlb, .nld, .nlm, .nmi, .nol, .now, .nra, .nrb, .nrg, .ns2, .ns5, .nso, .nt, .num, .nzb, .obj, .oca, .ocx, .ogg, .ogm, .olb, .old, .ole, .oli, .orf, .ori, .otl, .pab, .pak, .pb, .pbd, .pbf, .pbi, .pbk, .pbl, .pbm, .pbo, .pbr, .pbt, .pcd, .pcx, .pda, .pdb, .pdd, .pdf, .pdl, .pds, .pdv, .pdw, .pef, .pf, .pgm, .php, .pic, .pict, .pif, .pjf, .pkg, .pl, .plb, .plc, .pld, .plg, .pli, .pll, .plm, .pln, .plr, .pls, .plt, .ply, .png, .pot, .pp, .pp4, .pp5, .ppa, .ppb, .ppd, .ppf, .ppi, .ppl, .ppm, .ppo, .pps, .ppt, .ppz, .ps2, .psd, .psp, .pst, .pwa, .pwd, .pwf, .pwl, .pwp, .pwz, .px, .pxl, .py, .pyc, .pyd, .pyw, .pza, .pzd, .pzl, .pzo, .pzp, .pzs, .pzt, .pzx, .qic, .qt, .qtif, .qxd, .qxl, .qxt, .ra, .raf, .ram, .rar, .ras, .rc, .rd1, .rd3, .rd4, .rd5, .rdb, .rdl, .rdx, .rec, .rgb, .rle, .rmi, .rpb, .rpd, .rpm, .rpt, .rtf, .rwz, .sha, .txt (здесь 534 расширения, но это не весь список).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
pony.exe
05ntoar0.exe
Chrome.pif, chrome.pif.exe, cvtres.exe
<random>.exe - случайное название
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.HTML
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\pony.exe
C:\Documents and Settings\Administrator\Local Settings\%Temp%\****.exe
C:\Users\Administrator\AppData\Local\Temp\2\05ntoar0.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: pizdasobaki@protonmail.com
BTC: 1NeJEFzY8PbVS9RvYPfDP93iqXxHjav791
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >> HA>>
𝚺 VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ⴵ VMRay analysis >> VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (n/a) Write-up, Topic of Support 🎥 Video review >>
- Видеообзор от CyberSecurity GrujaRS
Thanks: CyberSecurity GrujaRS, Petrovic Andrew Ivanov (author) * to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.