GoNNaCry Ransomware
GoNNaCrypt Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GoNNaCrypt, GoNNaCry. На файле написано: Compil by raminhk.exe, Compile.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33919
BitDefender -> Trojan.GenericKD.46257532, Generic.Ransom.MBRLocker.2.4422FE5B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1140704, TR/Redcap.cgzjs
ESET-NOD32 -> A Variant Of Win64/Packed.VMProtect.LE, A Variant Of WinGo/Filecoder.L
Malwarebytes -> Ransom.GoNNaCry
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Trojan.DelShad!8.107D7 (CLOUD), Ransom.GoNNaCry!8.10DB7 (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002C0WEA21, Ransom_GoNNaCry.R002C0DEA21
---
© Генеалогия: ??? >> GoNNaCry
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .GoNNaCry
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: GoNNaCry.html
Ooops ! All your important files are encrypted.
What happened to my computer ?
Many of your documents, photos, videos, database and all other files are no longer accessible
because they have been encrypted by strong encryption algorithm.
Maybe you're busy looking for a way to recover your files but, do not waste your time, no one can't recover your files without our decryption service.
Can i recover my files ?
Sure! we guarantee you can recover all your files safe and easily but, your time is running out.
Payment is accepted in bitcoin only for more information please visit https://en.wikipedia.org/wiki/Bitcoin
If you don't know where to buy bitcoin please visit https://en.wikipedia.org/wiki/Bitcoin
Even if you need more help feel free to contact us.
Before and after the payment ?
First, Make sure to buy $400 amount of bitcoin and then you have to send it to following Wallet Address:
bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
After payment you have to contact us by following email address: GoNNaCrypt@protonmail.com
Your Public key: 47f057e3e88a928d1df06c44066ed996
Public key is required to identify your computer details.
Send a message contain your transaction link and the public key and wait for our response.
Notice:
After 48 hours of displaying this message, the price will be raised (doubled).
The next 48 hours you will lost all your files !
Do not shutdown or restart your system, until you didn't make the payment.
For proof of work you can send 2 files equal or less than 2 MB for us to recover and send back to you.
Some of your computer features is unavailable right now, don't try to use them =)
A regular bitcoin transaction can take a several hour for confirmation.
For more information and contact us feel free to send an email. GoNNaCrypt@protonmail.com
There is unequal amount of good and bad in most things, the trick is to figure out the ratio and act accordingly.
Best regards - #GoNNaCry
Перевод записки на русский язык:
Упс! Все ваши важные файлы зашифрованы.
Что случилось с моим компьютером?
Многие из ваших документов, фото, видео, базы данных и всех других файлов теперь не доступны потому что они зашифрованы надежным алгоритмом шифрования.
Возможно, вы ищете способ восстановить свои файлы, но не тратьте время зря, никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Могу ли я восстановить свои файлы?
Конечно! мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы, но ваше время на исходе.
Оплата принимается только в биткойнах, для получения информации посетите https://en.wikipedia.org/wiki/Bitcoin.
Если вы не знаете, где купить биткойн, посетите https://en.wikipedia.org/wiki/Bitcoin.
Даже если вам понадобится помощь, не стесняйтесь обращаться к нам.
До и после оплаты?
Во-первых, убедитесь, что вы купили биткойн на сумму $400, а затем отправьте его на следующий адрес кошелька:
bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
После оплаты вам надо связаться с нами по следующему email: GoNNaCrypt@protonmail.com
Ваш открытый ключ: 47f057e3e88a928d1df06c44066ed996
Открытый ключ нужен для идентификации данных вашего компьютера.
Отправьте сообщение, содержащее ссылку на транзакцию и открытый ключ, и ждите нашего ответа.
Уведомление:
После 48 часов отображения этого сообщения цена будет повышена (удвоена).
В следующие 48 часов вы потеряете все свои файлы!
Не выключайте и не перезапускайте систему, пока не произведете оплату.
Для подтверждения работы вы можете отправить 2 файла размером не более 2 МБ, чтобы мы восстановили их и отправили вам.
Некоторые функции вашего компьютера сейчас недоступны, не пытайтесь ими пользоваться =)
Для подтверждения обычной биткойн-транзакции может потребоваться несколько часов.
Для получения информации и свяжитесь с нами, отправьте email. GoNNaCrypt@protonmail.com
Обычно добра и зла неравное количество, уловка состоит в том, чтобы вычислить соотношение и действовать соответственно.
С уважением - #GoNNaCry
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
GoNNaCry.html - название файла с требованием выкупа;
Compil by raminhk.exe, Compile.exe - названия вредоносных файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32\Compil by raminhk
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxxs://soft98.org/*
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxxs://soft98.org/*
Email: GoNNaCrypt@protonmail.com
BTC: bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >> TG> TG> TG>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
BTC: bc1qzjjyuxnxx0nxuljfhk4m79pge5qj66mdlff36q
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >> TG> TG> TG>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
