Если вы не видите здесь изображений, то используйте VPN.

пятница, 20 сентября 2019 г.

GoRansom

GoRansom POC Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем сообщает, как самостоятельно вернуть файлы. Оригинальное название: GoRansom POC Ransomware. На файле написано: GoRansom.exe, windows_x86.exe. Написан на языке Golang.

Обнаружения:
DrWeb -> Trojan.Encoder.29575
BitDefender -> Gen:Variant.Razy.546521
Symantec -> ML.Attribute.HighConfidence
ALYac -> Trojan.Ransom.GoRansom
Malwarebytes -> Ransom.GoRansom

© Генеалогия: инструменты APT34 + Golang >> GoRansom POC
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .gore


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка без требований выкупа называется: GoRansom.txt

Содержание записки о выкупе:
Files have been encrypted by The GoRansom POC Ransomware
  Decryption Key is hardcoded in the binary.
  Uses XOR encryption with an 8bit (byte) key.
  Only 255 possible keys.
  Run the ransomware in the command line with one argument, decrypt.
  Example: GoRansom.exe decrypt

Перевод записки на русский язык:
Файлы были зашифрованы с помощью GoRansom POC Ransomware
   Ключ расшифровки жестко закодирован в двоичном файле.
   Использует шифрование XOR с 8-битным (байтовым) ключом.
   Всего 255 возможных ключей.
   Запустите Ransomware в командной строке с одним аргументом, расшифровать.
   Пример: GoRansom.exe decrypt




Технические детали

Согласно Intezer-анализу может быть связан с утекшими в Сеть инструментами кибергруппы APT34 (они же Oilrig и HelixKitten), которым могли воспользоваться другие киберпреступники. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GoRansom.txt
windows_x86.exe
GoRansom.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Запустите GoRansom.exe в командной строке с аргументом decrypt
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GoRansom)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, JAMESWT
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *