среда, 3 марта 2021 г.

IQ, HelpYou

IQ Ransomware

HelpYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc_IQ_IQ.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33543
BitDefender -> Trojan.GenericKD.45827119
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen2
ESET-NOD32 -> A Variant Of Win32/Filecoder.OFO
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.Heuristic.1004
Microsoft -> Trojan:Win32/Glupteba!ml
Rising -> Ransom.HelpYou!1.D28C (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> Trojan.Win32.GLUPTEBA.THCODBA
---

© Генеалогия: ✂️ Balaclava + другой код >> IQ (HelpYou)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: 
.IQ_IQ
.IQ1, .IQ2, 
.IQ0001 ...

Фактически используется составное расширение:
К зашифрованным файлам добавляется составное расширение по шаблону: .

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RECOVERY_FILES.txt


Содержание записки о выкупе:
It's your IDENTIFER:
C3C47BF13D675BB03BE76A5***
HELLO
All YOU FILES ENCRYPTED
If you need recover your files:
1) send message with your personal IDENTIFER to
helpyouhelpyou@cock.li or helpyou2helpyou@cock.li
and add 1 infected files from your server!
2) speak only by ENGLISH!
3) doesn't use free decryption tools, you can damage your files!
ONLY helpyouhelpyou@cock.li or helpyou2helpyou@cock.li can HELP YOU!
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li 

Перевод записки на русский язык:
Это ваш ИДЕНТИФИКАТОР:
C3C47BF13D675BB03BE76A5***
ПРИВЕТ
Все ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Если вам нужно восстановить ваши файлы:
1) отправьте сообщение со своим личным ИДЕНТИФИКАТОРОМ на адрес
helpyouhelpyou@cock.li или helpyou2helpyou@cock.li
и добавьте 1 зараженный файл со своего сервера!
2) говорите только на АНГЛИЙСКОМ!
3) не использует бесплатные инструменты дешифрования, вы можете повредить свои файлы!
ТОЛЬКО helpyouhelpyou@cock.li или helpyou2helpyou@cock.li могут помочь ВАМ!
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
helpyouhelpyou@cock.li
helpyou2helpyou@cock.li



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVERY_FILES.txt - название файла с требованием выкупа
enc_IQ_IQ.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helpyouhelpyou@cock.li
helpyou2helpyou@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as IQ)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 18 февраля 2021 г.

Pay2Decrypt

Pay2Decrypt Ransomware

Aliases: BatFilecoder, BleachGap, RenderGraphics, LeakGap

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0002 BTC, чтобы вернуть файлы. Оригинальное название: Pay2Decrypt. Написан на AutoIt. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33479, Trojan.Encoder.33489
BitDefender -> Dropped:Trojan.GenericKD.45329011
ALYac -> Trojan.Ransom.Filecoder
ESET-NOD32 -> A Variant Of Generik.NTEPZQT, BAT/Filecoder.DT
Ikarus -> Trojan-Ransom.FileCrypter
Jiangmin -> Trojan.PowerShell.ev
Kaspersky -> HEUR:Trojan-Downloader.BAT.Generic
Malwarebytes -> Ransom.FileCryptor, Ransom.BleachGap
Microsoft -> Ransom:Win32/Filecoder.PAA!MTB
Rising -> Ransom.Filecoder!8.55A8 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Bat.Trojan-downloader.Generic.Chn, Bat.Trojan-downloader.Generic.Pdwb
TrendMicro -> Ransom.Win32.MENOPE.THBAGBA, Ransom_Filecoder.R002C0DBI21
---

© Генеалогия: неизвестная разработка 2018 года >> Pay2Decrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lck
Может шифровать файлы и добавлять к ним это расширение несколько раз.
 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Ранний вариант (14-15 февраля) не содержал контактов и адреса кошелька для уплаты выкупа, поэтому добавлен только после основной статьи. 

Записки с требованием выкупа называются одинаково, но имеют порядковые номера от 1 до 100: 
Pay2Decrypt1.txt
Pay2Decrypt2.txt
***
Pay2Decrypt100.txt


Содержание записки о выкупе:
DONT TRY TO REBOOT, YOUR FILES ARE ENCRYPTED AND MBR OVERWRITTEN
PAY 0.0002 BTC IN 4JhPxp6KylbSeVnOA1Nr2BeT5ZXYNxGe7jhyQ3
SEND US AN EMAIL TO NK125@S0NY.NET WITH THIS KEY:P1Cf1syaijhNsFjkC9sH2O7hgvRiq4ZGTFaHs4eZoJas
YOU HAVE TODAY (Thu 02/18/2021) TO PAY, IF YOU TRY TO REBOOT ONLY YOU LOST ALL YOUR FILES

Перевод записки на русский язык:
НЕ ПЕРЕЗАГРУЖАЙТЕСЬ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, А MBR ПЕРЕЗАПИСАН
ПЛАТИТЕ 0.0002 BTC НА 4JHPXP6KYLBSEVNOA1NR2BET5ZXYNXGE7JHYQ3
ПИШИТЕ НА EMAIL NK125@S0NY.NET С ЭТИМ КЛЮЧОМ: P1Cf1syaijhNsFjkC9sH2O7hgvRiq4ZGTFaHs4eZoJas
У ВАС ЕСТЬ СЕГОДНЯ (ЧТ, 18.02.2021) ДЛЯ ОПЛАТЫ, ЕСЛИ ВЫ  ПЕРЕЗАГРУЗИТЕСЬ, ПОТЕРЯЕТЕ ВСЕ СВОИ ФАЙЛЫ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Деструктивные функции: 
Обходит защиту UAC. 
Отключает инструменты базопасности.
Модифицирует ключи реестра. 
Удаляет теневые копии файлов. 
Завершает работу браузеров (Chrome, Firefox).

➤ Использует утилиту ps2exe и PowerShell (в составе Windows) для того, чтобы скопилировать скрипт в исполняемый файл и запустить его с административными правами на выполнение. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, исполняемые и установочные файлы программ и пр.

Файлы, связанные с этим Ransomware:
Pay2Decrypt1.txt, Pay2Decrypt2.txt ... Pay2Decrypt100.txt - названия файлов с требованием выкупа; 
RenderGraphics.exe - название распространяемого вредоносного файла; 
aescrypt.exe - название вредоносного файла, который выполняет шифрование; 
ransom.exe, BleachGap.exe - вредоносный файл; 
extd.exe - название вредоносного файла; 
final.exe - название вредоносного файла; 
leakgap.exe - название вредоносного файла; 
6A82.bat - командный файл вымогателя; 
kill.bat - командный файл вымогателя; 
p2d.bat - командный файл вымогателя; 
<random>.exe - случайное название вредоносного файла;
DiscordSendWebhook.exe - программа для отправки сообщений в Discord через командный файл, подбрасывается вымогателем;
Gameover.exe - еще один файл, который подбрасывается вымогателем;
и другие файлы.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\2AA9.tmp\2AAA.tmp\extd.exe
C:\Users\User\AppData\Local\Temp\CDB.tmp\CDC.tmp\CDD.bat 
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RenderGraphics.exe
C:\Users\Admin\AppData\Local\Temp\final.exe
C:\Users\User\AppData\Local\Temp\CDB.tmp\DiscordSendWebhook.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: NK125@S0NY.NET
BTC: 4JhPxp6KylbSeVnOA1Nr2BeT5ZXYNxGe7jhyQ3
Malware URL: xxxxs://cdn-35.anonfiles.com/9821W1G5p3/8a0b1f8a-1613613819/gameover.exe
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предварительная разработка от 9 октября 2020:
Самоназвание: MBR - Note Builder
Файл: MBR_Note_Builder.exe
Результаты анализов: VT + AR

Предварительная разработка от 21 января 2021:
Файл: gameover.exe (KillMBR)
Malware-URL: xxxxs://cdn-115.anonfiles.com/9821W1G5p3/542b7e19-1612884386/gameover.exe
Результаты анализов: VT + AR

Ранний вариант от 14-15 февраля 2021:
Расширение: .lck
Записки: Pay2Decrypt1.txt - Pay2Decrypt100.txt
В этом более раннем образце записки нет email и BTC-кошелька вымогателей. 


➤ Содержание записки:
Pay us 0.0002 BTC to 
Your personal key is: rxGB4fEkDwDxLoESpI1MRq2LlbTJlgEQN6rRrQ7esp24vlL
You have 5 days to pay, if the time elapse, your files will be deleted.
The time start now: D:Sun 02/14/2021 T:23:10:24.53.
---
Файл: BleachGap.exe
Результаты анализов: VT + TG + AR + ARIA 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, 0x4143
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 15 февраля 2021 г.

Anton, Artemon

Anton-Artemon Ransomware

Variants: Anton, Artemon, AutoHello

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Anton Ransomware и Artemon 
Ransomware. Вымогатели используют два названия одновременно. Видимо они очень хотели замаскироваться под русских вымогателей, что не смогли выбрать имя. Для пользователей некоторых неевропейских алфавитов и иероглифов такая путаница в порядке вещей. Имя Anton написано на экране. Имя Artemon написано в текстовой записке. На исполняемом файле написано: WORD и Word document.exe. Кроме того есть файлы с названиями, в которых есть Petya, Mischa и WNCRY. В заголовке окна ещё написано "Trojan.Ransom.Anton.A".
---
Обнаружения:
DrWeb -> Trojan.Encoder.33478
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Agent.rkywk
ESET-NOD32 -> MSIL/Filecoder.AFY
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/ArtemonCrypt.PA!MTB
Rising -> Ransom.ArtemonCrypt!8.12494 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Lmaq
TrendMicro -> TROJ_GEN.R002H09BF21
---

© Генеалогия: HiddenTear + (
Petya+Mischa=WNCRY) >> Anton, Artemon и вся их компания


Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется или файлы вообще не шифруются. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Artemon.txt



Содержание записки о выкупе:
Hello! You victim on ARTEMON RANSOMWARE!
your files encrypted
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
Adress BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Within 1-2 days, we will send you a password and instructions for decryption.
Copyring 2020-2021

Перевод записки на русский язык:
Привет! Вы жертва ARTEMON RANSOMWARE!
ваши файлы зашифрованы
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Адрес BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
В течение 1-2 дней мы пришлем вам пароль и инструкцию по расшифровке.
Copyring 2020-2021


Запиской с требованием выкупа также выступает экран блокировки: 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb - оригинальное название файла проекта; 
Artemon.txt - название файла с требованием выкупа; 
Word document.exe - название вредоносного файла; 
a.MischaMyFriend - бинарный файл в анализе; 
b.PetyaMyFriend  - бинарный файл в анализе; 
exeexeexe1.ArtemonTrojan  - бинарный файл в анализе; 
encrypt.Ransom  - бинарный файл в анализе. 




В пути, где лежат файлы проекта вымогателей, видно, что используются папки с названиеми "исходники" и "ИСХОДНИКИ". Сразу видно, что им было мало одной папки с таким названием, потому сделали еще одну с большими буквами, чтобы показать, какие они "русские". Далее есть ещё две папки "AutoHello". Видимо программисты "ещё те субчики" и у них 
голова совсем "ку-ку". 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\server33\исходники\ИСХОДНИКИ\AutoHello\AutoHello\obj\Debug\4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb

Ошибки в программе:

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.


среда, 10 февраля 2021 г.

Random30

Random30 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Random30

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Random

Фактически используется составное расширение по шаблону: __[ID <30>][Mail datas_back_help112@tutanota.com].Random

Пример такого расширения: __[ID tF471uBu07Te7FuJo1V$6It1JmHoFm][Mail datas_back_help112@tutanota.com].Random

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: Read__Me.txt


Содержание записки о выкупе:
All Your Files Encryped!!!
don't try to Recover or change file names ... because it should damage files
contact us for decrypting your files Your ID : tF471uBu07Te7FuJo1V$6It1J*****
Our Email :datas_back_help112@tutanota.com

Перевод записки на русский язык:
Все ваши файлы зашифрованы!!!
не пытайтесь Вернуть или менять имена файлов ... т.к. это повредит файлы
напишите нам для расшифровки ваших файлов Ваш ID: tF471uBu07Te7FuJo1V$6It1J *****
Наш Email: datas_back_help112@tutanota.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read__Me.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datas_back_help112@tutanota.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 9 февраля 2021 г.

EPICALLY

Epically Ransomware

Epically Hand-Ransomware

Epically Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->


© Генеалогия: HelloKitty >> Epically

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: read_me_unlock.txt


Содержание записки о выкупе:
@
!!!!!!!!!!!!!!!!!! Hello CD PROJEKT !!!!!!!!!!!!!!!!!!
Your have been EPICALLY pwned!!
We have dumped FULL copies of the source codes from your Perforce server for Cyberpunk 2077, Witcher 3, Gwent and the unreleased version of Witcher 3!!!
We have also dumped all of your documents relating to accounting, administration, legal, HR, investor relations and more!
Also, we have encrypted all of your servers, but we understand that you can most likely recover from backups.
If we will not come to an agreement, then your source codes will be sold or leaked online and your documents will be sent to our contacts in gaming journalism. Your public image will go down the shitter even more and people will see how you shitty your company functions. Investors will lose trust in your company and the stock will dive even lower!
You have 48 hours to contact us. 

Перевод записки на русский язык:
@
!!!!!!!!!!!!!!!!!! Привет CD PROJEKT !!!!!!!!!!!!!!!!!!
Вас СКАЗОЧНО хакнули!!
Мы взяли ПОЛНЫЕ копии исходных кодов с вашего Perforce-сервера для Cyberpunk 2077, Witcher 3, Gwent и неизданной версии Witcher 3!!!
Мы также взяли все ваши документы, касающиеся бухгалтерии, администрации, права, кадров, инвестиций и прочего!
Ещё мы зашифровали все ваши серверы, но понимаем, что вы сможете восстановить данные из бэкапов.
Если мы не договоримся, ваши исходники будут проданы или выложены в сеть, а ваши документы отправлены нашим контактам в игровой журналистике. Ваш публичный имидж пострадает ещё больше, а люди увидят, как дерьмово работает ваша компания. Инвесторы потеряют доверие к вашей компании, а акции упадут ещё ниже!
У вас 48 часов для связи с нами.
---

К чести сказать, представители пострадавшей компании CD Projekt Red (Польша), известного разработчика игр, сами сообщили об атаке и заявили, что не намерены платить вымогателям и будут восстаналиваться из резерных копий, которые не были зашифрованы. 


Вот их официальное заявление, размещенное в Твиттере и Фейсбуке.  


Содержание заявления:
Yesterday we discovered that we have become a victim of a targeted cyber attack, due to which some of our internal systems have been compromised.
An unidentified actor gained unauthorized access to our internal network, collected certain data belonging to CD PROJEKT capital group, and left a ransom note the content of which we release to the public. Although some devices in our network have been encrypted, our backups remain intact. We have already secured our IT infrastructure and begun restoring the data.
We will not give in to the demands nor negotiate with the actor, being aware that this may eventually lead to the release of the compromised data. We are taking necessary steps to mitigate the consequences of such a release, in particular by approaching any parties that may be affected due to the breach.
We are still investigating the incident, however at this time we can confirm that — to our best knowledge — the compromised systems did not contain any personal data of our players or users of our services.
We have already approached the relevant authorities, including law enforcement and the President of the Personal Data Protection Office, as well as IT forensic specialists, and we will closely cooperate with them in order to fully investigate this incident.

Перевод на русский язык:
Вчера мы обнаружили, что стали жертвой целевой кибератаки, в результате были взломаны некоторые наши внутренние системы.
Неизвестные получили неправомочный доступ к нашей внутренней сети, собрали некоторые данные, принадлежащие основной группе CD PROJEKT, и оставили записку о выкупе, содержание мы публикуем. Хотя некоторые устройства в нашей сети зашифрованы, наши резервные копии нетронуты. Мы уже защитили нашу ИТ-инфраструктуру и начали восстановление данных.
Мы не уступим требованиям и не пойдем на переговоры с субъектом, зная, что это в итоге может привести к раскрытию скомпрометированных данных. Мы делаем всё для смягчения последствий, в частности, обращаясь к любым сторонам, которые могут пострадать из-за атаки.
Мы пока еще расследуем инцидент, но уже сейчас можем подтвердить, насколько нам известно, в скомпрометированных системах не было никаких личных данных наших игроков или пользователей наших сервисов.
Мы уже обратились в правоохранительные органы и к руководству Управления защиты персональных данных, а также к экспертам в области ИТ, чтобы тесно сотрудничать с ними в расследовании этого инцидента.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me_unlock.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage + Message
 ID Ransomware (ID as HelloKitty)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 CD Projekt Red, Catalin Cimpanu, Sergiu Gatlan, Jirehlov Solace 
 Andrew Ivanov (article author)
 Fabian Wosar
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *