Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 октября 2019 г.

Pay-or-Lost Ransomware

Pay-or-Lost Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096 (со слов вымогателей), а затем требует выкуп в 0.06 BTC, чтобы вернуть файлы. Но не указывает никаких контактов для связи и адреса для уплаты выкупа. Оригинальное название: в записке не указано. На файле написано: $safeprojectname$.exe и svchost. 

Обнаружения:
DrWeb -> Trojan.Encoder.29644
BitDefender -> Generic.Ransom.Hiddentear.A.4D4E1E2C
Malwarebytes -> Trojan.Dropper.Generic
Kaspersky -> Not-a-virus:HEUR:AdWare.MSIL.ConvertAd.g
Symantec -> PUA.Gen.2
TrendMicro -> TROJ_GEN.R002C0WIQ19
Tencent -> Win32.Trojan.Falsesign.Pgwg
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UY

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

Возможно, что к зашифрованным файлам добавляется расширение: .kkk


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя юыл найден в начале октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, сделано в Малайзии. 

Тестовая записка с требованием отсутствует. 
Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста о выкупе:
If you are reading this text, it means, we've hacked your corporate network.
Now all your data is encrypted with very serious and powerful algorithms (AES256 and RSA-4,096).
These algorithms now in use in military intelligence, NSA and CIA .
No one can help you to restore your data without our special decipherer.
Don't even waste your time.
But there are good news for you.
We don't want to do any damage to your business.
We are working for profit.
The core of this criminal business is to give back your valuable data in the original form (for ransom of course).
Please do not start your first letter to us with the words:It's a mistake !! Our company is just trimming and grooming little dogs.
We don't have money at all.
There is a big mistake on our site !We are not leaders in our industry and all our competitors don't suck our huge dick.
We're just ? small company, and we are dying because of hard competition.
We are not the Super Mega International Corporation ltd., we are just a nursery etc.
We see it 5 times a day.
This shit doesn't work at all !!!
Don't waste our and your time.
Remember ! We don't work for food.
You have to pay for decryption in Bitcoins (BTC).
If you think you pay $100 and you'll get the decryptor, you are 50 million light years away from reality :)
The ransom begins from 0.06 BTC up to USD 600++.
If you don't have money don't even write to us.
We don't do charity !
Man is the master of everything and decides everything.

Перевод текста на русский язык:
Если вы читаете этот текст, значит, мы взломали вашу корпоративную сеть.
Теперь все ваши данные зашифрованы с очень серьезными и мощными алгоритмами (AES256 и RSA-4096).
Эти алгоритмы сейчас используются в военной разведке, АНБ и ЦРУ.
Никто не может помочь вам восстановить ваши данные без нашего специального расшифровщика.
Даже не теряйте свое время.
Но есть и хорошие новости для вас.
Мы не хотим наносить ущерб вашему бизнесу.
Мы работаем для получения прибыли.
Суть этого криминального бизнеса в том, чтобы вернуть ваши ценные данные в первоначальном виде (за выкуп, конечно).
Пожалуйста, не начинайте свое первое письмо со словами: это ошибка !! Наша компания занимается отделкой и уходом за собачками.
У нас нет денег вообще.
На нашем сайте есть большая ошибка! Мы не лидеры в своей отрасли, и все наши конкуренты не со*** наш огромный ****.
Мы просто? маленькая компания, и мы умираем из-за жесткой конкуренции.
Мы не Super Mega International Corporation ltd., Мы просто питомник и т. Д.
Мы видим это 5 раз в день.
Это дерьмо вообще не работает !!!
Не трать наше и свое время.
Помните ! Мы не работаем за еду.
Вы должны заплатить за дешифрование в биткойнах (BTC).
Если вы думаете, что заплатите 100$ и получите расшифровщик, вы на расстоянии 50 миллионов световых лет от реальности :)
Выкуп начинается с 0,06 BTC до 600$ США ++.
Если у вас нет денег, даже не пишите нам.
Мы не занимаемся благотворительностью!
Человек - хозяин всего и все решает.

---

Дополнительно, совет от разработчика:
The first step to take is to always backup your system. Locally, and offsite.
This is essential. First, it will keep your information backed up in a safe area that hackers cannot easily access. Secondly, it will make it easier for you to wipe your old system and repair with backup files in case of an attack.
Failure to back up your system can cause irreparable damage.
Use a cloud backup solution to protect your data. By protecting your data in the cloud, you keep it safe from infection by ransomware. Cloud backups introduce redundancy and add an extra layer of protection.
Have multiple backups just in case the last back up got overwritten with encrypted ransomware files.


Перевод текста на русский язык:
Первый шаг - всегда делать резервную копию вашей системы. Локально и вне офиса.
Это важно. Во-первых, ваша информация будет храниться в безопасном месте, к которому хакеры не могут получить легкий доступ. Во-вторых, вам будет проще стереть старую систему и восстановить файлы резервных копий в случае атаки.
Отсутствие резервной копии вашей системы может нанести непоправимый ущерб.
Используйте решение облачного резервного копирования для защиты ваших данных. Защищая ваши данные в облаке, вы защищаете их от заражения вымогателями. Резервное копирование в облаке создает излишек и добавляет дополнительный уровень защиты. 
Создайте несколько резервных копий на случай, если последняя резервная копия была перезаписана файлами, зашифрованными Ransomware.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
$safeprojectname$.exe
$safeprojectname$.pdb
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%DESKTOP%\hythty
C:\Users\Illegear\Desktop\svchost\obj\x86\Debug\$safeprojectname$.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: alrajhicashbiz24seven.com.my
DNS: ec2-52-220-60-155.ap-southeast-1.compute.amazonaws.com
Email (фиктивный): testing@example.com
BTC (фиктивный): s4C6MPmpk4AXNVVUWtfG6JWvjPfENVv8k5
Если контакты фиктивные, то уплата выкупа бесполезна. 

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 октября 2019:
Пост в Твиттере >>
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *