Balaclava Ransomware
Variants, Aliases: DavesSmith, JerryGlanville, KEY0004, Michael, Coryell, PuckettJeffrey
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
Нет обнаружений на момент написания статьи (для раннего варианта)!
Обнаружения:
DrWeb -> Trojan.Encoder.31083, Trojan.Encoder.31553
BitDefender Trojan.GenericKD.33360029
ESET-NOD32 -> A Variant Of Win32/Filecoder.NYS
McAfee -> RDN/Generic.hra
Tencent -> Win32.Trojan.Gen.Ljuk
TrendMicro -> Ransom_Gen.R011C0RBN20
© Генеалогия: ранний вариант > Balaclava (DavesSmith) > более новые варианты > FarAttack
Этимология названия:
Эти вымогатели не использовали никакого названия для своего "творения", потому что предпочитают скрываться под чужими именами, фактически надевают маску-балаклаву, чтобы скрыть свои лица.
К зашифрованным файлам добавляются различные расширения, на момент написания статьи это было:
.[daves.smith@aol.com]
Фактически для расширения зашифрованных файлов и логина почты используются разные имена, которые могут быть именами известных лиц, названиями брендов и прочего, что можно использовать, чтобы скрыться за чужими именами.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: RECOVERY FILE.txt
Hello!
If you see this message - this means your files are now encrypted and are in a non-working state!
Now only we can help you recover.
If you are ready to restore the work - send us an email to the address daves.smith@aol.com
In the letter, specify your personal identifier, which you will see below.
In the reply letter we will inform you the cost of decrypting your files.
Before payment you can send us 1 files for test decryption.
We will decrypt the files you requested and send you back.
This ensures that we own the key to recover your data.
The total file size should be no more than 2 MB,
the files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
Email to contact us - daves.smith@aol.com
YOUR PERSONAL ID :
7034E15D2F28474B8B72B16548E9E9C41372DF3ED11D660712543DF7033C8BAE*** [ всего 1618 знаков]
Перевод записки на русский язык:
Привет!
Если вы видите это сообщение - это означает, что ваши файлы теперь зашифрованы и находятся в нерабочем состоянии!
Теперь только мы можем помочь вам восстановить.
Если вы готовы восстановить работу - отправьте нам письмо на адрес daves.smith@aol.com
В письме укажите свой личный идентификатор, который вы увидите ниже.
В ответном письме мы сообщим вам стоимость расшифровки ваших файлов.
Перед оплатой вы можете отправить нам 1 файл для тест-расшифровки.
Мы расшифруем запрошенные вами файлы и отправим вам обратно.
Это гарантирует, что у нас есть ключ для восстановления ваших данных.
Общий размер файла должен быть не более 2 МБ,
файлы не должны содержать ценной информации (базы данных, резервные копии, большие таблицы Excel...).
Email, чтобы связаться с нами - daves.smith@aol.com
ВАШ ЛИЧНЫЙ ID:
7034E15D2F28474B8B72B16548E9E9C41372DF3ED11D660712543DF7033C8BAE*** [1618 знаков]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускаемые папки и файлы:
$RECYCLE.BIN
Microsoft.NET
Windows NT
<ransom_note>.txt
и другие
Файлы, связанные с этим Ransomware:
RECOVERY FILE.txt
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: daves.smith@aol.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .jerry_glanville_data@aol.com
Email: jerry_glanville_data@aol.com
Записка: HOW_TO_RECOVERY_FILES.txt
Результаты анализов: VT + HA + AR + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.31083
BitDefender -> Trojan.GenericKD.33360029
ESET-NOD32 -> A Variant Of Win32/Filecoder.NYS
McAfee -> RDN/Generic.hra
Tencent -> Win32.Trojan.Gen.Ljuk
TrendMicro -> Ransom_Gen.R011C0RBN20, новый Ransom.Win32.BALACLAVA.A
Hello!
If you see this message - this means your files are now encrypted and are in a non-working state!
Now only we can help you recover.
If you are ready to restore the work - send us an email to the address jerry_glanville_data@aol.com
In the letter, specify your personal identifier, which you will see below.
In the reply letter we will inform you the cost of decrypting your files.
Before payment you can send us 1 files for test decryption.
We will decrypt the files you requested and send you back.
This ensures that we own the key to recover your data.
The total file size should be no more than 2 MB,
the files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
Email to contact us - jerry_glanville_data@aol.com
YOUR PERSONAL ID :
6BFBE9755C2C3BC5D5FA0B1853CE73EB793578D2BE2F870751B4C15CB169DE0A*** [всего 1618 знаков]
---
Обновление от 13 апреля 2020:
Пост в Твиттере >>
Расширение: .KEY0004
Записка: HOW_TO_RECOVERY_FILES.txt
Email: giveyoukey@tutanota.com, giveyoukey@cock.li
Файл: Lock.exe
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.31553
BitDefender -> Gen:Trojan.Heur.RP.eeW@ayAhfng
ESET-NOD32 -> A Variant Of Win32/Filecoder.NYS
Malwarebytes -> Ransom.FileCryptor
Tencent -> Win32.Trojan.Filecoder.Eerb
ALL YOUR FILES ARE ENCRYPTED!
Send 1 test image or text file
giveyoukey@tutanota.com or giveyoukey@cock.li.
In the letter include YOUR ID or 1 infected file!
We will give you the decrypted file and assign the price for decryption all files!
Doesn't try to restore by yourself, You can damage your files!
DBE62DCBE1676149D226E03D8BD4871DEC6CEF633E28C0098477CE4FE1474452*** [всего 1618 знаков]
---
Обновление от 22 апреля 2020:
Пост на форуме >>
Расширение: .michael
Записка: HOW_TO_RECOVERY_FILES.txt
Email: michael.reynolds74@aol.com
Hello!
If you see this message - this means your files are now encrypted and are in a non-working state! Now only we can help you recover.
If you are ready to restore the work - send us an email to the address michael.reynolds74@aol.com In the letter, specify your personal identifier, which you will see below. In the reply letter we will inform you the cost of decrypting your files.
Before payment you can send us 1-2 files for test decryption. We will decrypt the files you requested and send you back. This ensures that we own the key to recover your data. The total file size should be no more than 2 MB, the files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
Email to contact us - michael.reynolds74@aol.com
YOUR PERSONAL ID :
E45A1755E085A28959E267B3D618CFBF979E61ED280C673CAB12F0988BD0E38C*** [всего 1618 знаков]
Обновление от 23 апреля 2020:
Пост на форуме >>
Расширение: .coryell
Записка: HOW_TO_RECOVERY_FILES.txt
Email: coryell.r@aol.com
Результаты анализов: VT + IA + TG
Обновление от 8 мая 2020:
Пост на форуме >>
Расширение: .puckett_jeffrey
Записка: HOW_TO_RECOVERY_FILES.txt
Email: puckett_jeffrey@aol.com
Hello!
If you see this message - this means your files are now encrypted and are in a non-working state! Now only we can help you recover.
If you are ready to restore the work - send us an email to the address puckett_jeffrey@aol.com In the letter, specify your personal identifier, which you will see below. In the reply letter we will inform you the cost of decrypting your files.
Before payment you can send us 1-2 files for test decryption. We will decrypt the files you requested and send you back. This ensures that we own the key to recover your data. The total file size should be no more than 2 MB, the files should not contain valuable information (databases, backups, large Excel spreadsheets ...).
Email to contact us - puckett_jeffrey@aol.com
YOUR PERSONAL ID :
10BC4AAA575911627B677FDF6F2B2F50*** [всего 1618 знаков]
---
Результаты анализов: VT (puckett_jeffrey.exe)
---
Продолжение в статье FarAttack Ransomware >>
© Amigo-A (Andrew Ivanov): All blog articles.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as DavesSmith / Balaclava) Write-up, Topic of Support *
Thanks: Michael Gillespie, quietman7 Andrew Ivanov (author) Added later: dnwls0719 to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
