Если вы не видите здесь изображений, то используйте VPN.

четверг, 13 июня 2019 г.

Armageddon

Armageddon Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 или €100, чтобы вернуть файлы. Оригинальное название: Armageddon. На файле написано: WnCryMode.exe

Обнаружения:
DrWeb -> Trojan.Encoder.28506
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Malwarebytes -> Ransom.Armageddon

© Генеалогия: HiddenTear >> Trojan-SyriaGodsomware > Armageddon

Изображение — логотип статьи

К незашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
You personal files are encrypted!
All your files on this computer have been encrypted: photo, videos, documets etc. Here is complete list of all of the
encrypted files, and you can personally verify this.
Encryption was produced using a unique private key RSA-2048 generated for this computer. This key is random for
each computer. To decrypt (return your files to normal state) your files need to obtain the private key.
The only copy of a private key, which will allow you to decrypt the files located on our secret server and will destroy
itself after a time specified in the timer bellow.
After that nobody and never will be able to restore your files....
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 100 USD / 100 EUR
similar amount in another currency. You can buy Bitcoin here: coinbase.com/buy-bitcoin
Click <Next> to select the method of payment and the currency.
Any attempts to remove or damage this software will lead to the immediate destruction of the private key by the server.
---
Send $100 worth of bitcoin to this address:
[15iSjsYtnFex2UppPURJ4C6HidPZfEribm] [Copy]
[Check payment] [Decrypt all files]
Feedback: darkday@mailinator.com


Перевод записки на русский язык:
Ваши личные файлы зашифрованы!
Все ваши файлы на этом компьютере были зашифрованы: фото, видео, документы и т. Д. Вот полный список всех
зашифрованные файлы, и вы можете лично убедиться в этом.
Шифрование было произведено с использованием уникального закрытого ключа RSA-2048, сгенерированного для этого компьютера. Этот ключ является случайным для
каждый компьютер. Чтобы расшифровать (вернуть файлы в нормальное состояние) ваши файлы должны получить закрытый ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать файлы, расположенные на нашем секретном сервере и уничтожит
Сам по истечении времени, указанного в приведенном ниже таймере.
После этого никто и никогда не сможет восстановить ваши файлы ....
Чтобы получить закрытый ключ для этого компьютера, который будет автоматически расшифровывать файлы, вам нужно заплатить 100 USD / 100 EUR
аналогичная сумма в другой валюте. Вы можете купить биткойн здесь: coinbase.com/buy-bitcoin
Нажмите <Далее>, чтобы выбрать способ оплаты и валюту.
Любые попытки удалить или повредить это программное обеспечение приведут к немедленному уничтожению приватного ключа сервером.
---
Отправьте биткоины на $100 по этому адресу:
[15iSjsYtnFex2UppPURJ4C6HidPZfEribm] [Копировать]
[Проверить оплату] [Расшифровать все файлы]
Обратная связь: darkday@mailinator.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск.


Список файловых расширений, подвергающихся шифрованию:
Вероятно, файлы не шифруются. 
После доработки целями вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WnCryMode.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
G:\soft\WnCryMode\WnCryMode\obj\Debug\WnCryMode.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: darkday@mailinator.com
BTC: 15iSjsYtnFex2UppPURJ4C6HidPZfEribm
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
☢ VX Vault >>  VXV>>
𝚺  VirusTotal analysis >>  VT>>
Ⓗ Hybrid analysis >>  HA>>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 - Видеообзор атаки
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *