Ims00ry Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
Обнаружения:
DrWeb -> Trojan.MulDrop9.20835
BitDefender -> Generic.Starter.3.EC0425DF, Trojan.GenericKD.32127402
Kaspersky -> Trojan-Ransom.Win32.Encoder.dgb
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .ch4x0
Это расширение используется только во время шифрования. После шифрования файла это расширение удаляется.
Также используется маркер файлов "---shlangan AES-256---"
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был найден в первой половине июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: README.txt
I am sorry!!!
My friend. I want to start my own business, but i have no money.
All your files photos, databases, documents and other important are encrypted with strongest encryption and algorithms RSA 4096, AES-256.
If you want to restore your files payment and write to Telegram bot
Price decrypt software is $50.
Attention!!!
Do not rename or move the encrypted files.
Bitcoin wallet:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Contact Telegram bot:
@lms00rybot
Перевод текста на русский язык:
Я прошу прощения!!!
Мой друг. Я хочу начать свое дело, но у меня нет денег.
Все ваши файлы фото, базы данных, документы и другие важные файлы зашифрованы с самыми надежными алгоритмами шифрования RSA 4096, AES-256.
Если вы хотите восстановить ваши файлы платите и напишите боту Telegram
Цена программы дешифрования 50$.
Внимание!!!
Не переименовывайте и не перемещайте зашифрованные файлы.
Биткоин-кошелек:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Связь с ботом Telegram:
@lms00rybot
Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола:
Содержание текста с изображения:
I am sorry!!!
All your files photos, databases, documents and other important are encrypted with strongest encryption and algorithms RSA 4096, AES-256.
If you want to restore your files payment.
Price decrypt software is $50.
Attention!!!
Do not rename or move the encrypted files.
Bitcoin wallet:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Contact Telegram bot:
@Ims00rybot
Find text file README and read more information.
Перевод текста на русский язык:
Я прошу прощения!!!
Все ваши файлы фото, базы данных, документы и другие важные зашифрованы с самыми надежными алгоритмами шифрования RSA 4096, AES-256.
Если вы хотите восстановить ваши файлы платите.
Цена программы дешифрования 50$.
Внимание!!!
Не переименовывайте и не перемещайте зашифрованные файлы.
Биткоин-кошелек:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Связь с ботом Telegram:
@Ims00rybot
Найдите текстовый файл README и прочтите информацию.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Список деструктивных команд (останавливает работу служб VVS, WSC, Windows Defender, BITS, ERS, WERS, удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки и прочее)
vssadmin.exe Delete shadows /All /Quiet
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe Delete shadows /All /Quiet
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README.txt - файл с текстом вымогателей
des1.jpg - файл изображения для замены обоев
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: 1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Telegram bot: @Ims00rybot
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Скачайте дешифровщик для расшифровки файлов >> ***
Read to links: Tweet on Twitter + Tweet + myTweet + Tweet ID Ransomware (ID as Ims00ry) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Michael Gillespie, Emsisoft Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
