Snake-Ekans

Snake-Ekans Ransomware

Ekans-Snake Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные атакованной корпоративной сети с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: update.exe. Написан на Golang. 
---
Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.41204, Trojan.Encoder.30786, Trojan.Encoder.31986

BitDefender -> Gen:Win32.AV-Killer.ItW@aei5Gqj
ESET-NOD32 -> A Variant Of Generik.EABZHLK
Kaspersky -> Trojan.Win32.Antavmu.asdd
McAfee -> Trojan-Ransom.b
Symantec -> ML.Attribute.HighConfidence, Downloader
---

© Генеалогия: предыдущие Go Ransomware >> Ekans-Snake

К зашифрованным файлам никакое расширение не добавляется. Вместо расширения в зашифрованным файлам добавляется файловый маркет EKANS. это слов представляет собой обратно прочитанное "Snake" (англ. змея). Это было взято в название статьи и написано на логотипе статьи.

Изображение — логотип статьи

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало января 2020 г. Первая загрузка на VT была 26 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Fix-your-files.txt

Содержание записки о выкупе:
What happened to your files?
---
We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more -
all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now.
But dont worry!
You can still get those files back and be up and running again in no time.
---
How to contact us to get your files back?
---
The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.
Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with
better cyber security in mind, if you are interested in purchasing the decryption tool contact us atc bapcocrypt@ctemplar.com
---
How can you be certain we have the decryption tool?
---
In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets),
We will send them back to you decrypted.

Перевод записки на русский язык:
Что случилось с вашими файлами?
---
Мы взломали вашу корпоративную сеть и зашифровали данные на ваших компьютерах. Зашифрованные данные включают в себя документы, базы данных, фотографии и многое другое -
все они были зашифрованы с алгоритмами шифрования военного уровня (AES-256 и RSA-2048). Вы не можете получить доступ к этим файлам прямо сейчас.
Но не волнуйтесь!
Вы все еще можете вернуть эти файлы и быстро начать работу.
---
Как связаться с нами, чтобы вернуть ваши файлы?
---
Единственный способ восстановить ваши файлы - это приобрести инструмент дешифрования, загруженный закрытым ключом, который мы создали специально для вашей сети.
После запуска на затронутом компьютере инструмент расшифрует все зашифрованные файлы, и вы сможете возобновить повседневные операции, желательно с лучшей кибербезопасностью, если вы заинтересованы в приобретении инструмента дешифрования, свяжитесь с нами по адресу bapcocrypt@ctemplar.com
---
Как вы можете быть уверены, что у нас есть инструмент для расшифровки?
---
В вашей почте к нам прикрепите до 3 файлов (до 3 МБ, без баз данных или электронных таблиц),
Мы отправим их вам обратно в расшифрованном виде.

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Между выполнением вредоносного файла и началом шифрования файлов может пройти несколько часов. По какой-то причине этот вредонос не торопится шифровать файлы.

➤ В конце зашифрованных файлов есть файловый маркер: EKANS

 

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тех, что находятся в списке пропускаемых. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: 
.bat, .blf, .cmd, .config, .devicemetadata-ms, .dll, .docx, .exe, .ico, .lnk, .manifest, .mui, .olb, .ps1, .regtrans-ms, .settingcontent-ms, .sys, .tlb, .tmp, 

Пропускаемые файлы:
desktop.ini
iconcache.db
ntuser.dat
ntuser.ini
ntuser.dat.log1
ntuser.dat.log2
usrclass.dat
usrclass.dat.log1
usrclass.dat.log2
ntldr
NTDETECT.COM
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
ctfmon.exe
iconcache.db
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

Пропускаемые папки с файлами:
bootmgr
bootnxt
windir
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\

Файлы, связанные с этим Ransomware:
Fix-your-files.txt
crypt.go
update.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
EKANS

Публичный RSA-ключ:
-----BEGIN RSA PUBLIC KEY-----
MIIBCgKCAQEAyQ+M5ve829umuy9+BSsUX/krgdF83L3m8/uxRvKX5EZbSh1+buON
ZYr5MjfhrdiOGnrbB1j0Fy31U/uzvWcy7VvK/zcsO/5aAhujhHB/qMAVpZ8zT5BB
ujT1Bvsith/BXgtM99MixD8oZ67VDZaRM9TPE89WuAjnaBZORrk48wFcn1DOAAHD
Z9z9komtqIH1fm3Y0Q6P76nUscLsYOme082L217Th/lTMoqqs4cF2rn9O9Vp4V9U
aCs4XVxGSpcuqbIscfpf0cm44P2eOEk+sbZdahO9C6fezt7YF4OCJ4Vz3qqMD6z4
+6d7FRxUu6k3Te2T2bWBZnsDO30pYFi/gwIDAQAB
-----END RSA PUBLIC KEY-----

Сетевые подключения и связи:
Email: bapcocrypt@ctemplar.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >> - reanalyze IA> + IA>
ᕒ  ANY.RUN analysis >>  AR> AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 января 2020:

Пост в Твиттере >>
Записка: Fix-Your-Files.txt
Мьютекс: Down With Bin Salman
Файл проекта: C:\Users\Admin\Desktop\Dustman\Furutaka\drv\agent.plain.pdb

Обновление от 12 января 2020:
Мьютекс: EKANS
Результаты анализов: VT + IA + AR + VMR + JSA

Обновление от 12 июня 2020:
Статья на сайте BleepingComputer >>
Результаты анализов: VT + IA + JSA
➤ Обнаружения:
ALYac -> Trojan.Ransom.SnakeLocker
Avast/AVG -> Win32:Trojan-gen
Avira (no cloud) -> TR/Injector.ryxmy
BitDefender -> Gen:Variant.Ransom.Ekans.3
DrWeb -> Trojan.Encoder.31986
Kaspersky -> Trojan-Ransom.Win32.Snake.e
Malwarebytes -> Ransom.Ekans
McAfee -> Ransom-Ekans!7DDB09DB3FB9
Rising -> Ransom.Snake!8.1170E (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Ammt
TrendMicro -> Ransom.Win32.EKANS.D


Обновление от 7 января 2021:

Сообщение >>

Результаты анализов: IA + VT 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Snake-Ekans)
 Write-up, Topic of Support
 * 

Added later:
Write-up (BleepingComputer, on January 8, 2020)
*
*

 Thanks: 
 Vitali Kremez, Michael Gillespie, sysopfb
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.