LockFile

LockFile Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует связаться через UTox, что узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: LockFile. На файле написано: чёткий образец не предоставлен. 
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ✂ LockBit >> LockFile

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lockfile


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была замечена в США 20 июля 2021 г., однако специалисты сообщили о нем только 20 августа 2021. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Атаки LockFile были зарегистрированы в основном в США и странах Азии, а их жертвами стали как минимум 10 организаций из следующих секторов: финансовые услуги, производство, машиностроение,  юриспруденция, бизнес-услуги, путешествия и туризм. 

Записка с требованием выкупа в июле 2021 называлась: LOCKFILE-README.hta

Содержание записки (часть текста):

ENCRYPTED
What happened?
All your documents, databases, backups, and other critical files were encrypted.
Our software used the AES cryptographic algorithm (you can find related information in Wikipedia).
It happened because of security problems on your server, and you cannot use any of these files anymore. The only
way to recover your data is to buy a decryption key from us.
To do this, please send your all file size to the contacts below.
E-mail: ***
Wallet: contact us
***

Эта HTA-записка очень похожа на ту, что используется в CryLock Ransomware с версии 2.0 (с июля 2020 года). 

Но на момент написания статьи сообщается, что в августе 2021 используется название по шаблону: 

[victim_name]-LOCKFILE-README.hta

В отчете исследователей есть скриншот более новой записки вымогателей, на котором Tor-адрес указан неполностью. 

Примерно с мая 2020 года вымогатели из LockBit Ransomware использовали похожий на вид сайт. Возможно, что вымогатели из LockFile Ransomware используют их шаблон записки или как-то связаны с этой группой вымогателей. 

Содержание текста о выкупе:

ALL YOUR IMPORTANT FILES ARE ENCRYPTED!

---

Any attempts to restore your files with the thrid-party software will be fatal for your files!

Restore you data posible only buying private key from us.

---

There is only one way to get your files back:

---

01. contact us UTox Email

uTox ID: ***

hxxxs://utox.org/

Email: contact@contipauper.com

---

02. Through a Tor Browser - recommended

Download Tor Browser - hxxxs://www.torproiect.org/ and install it.

Open link in Tor Browser - hxxx://zqaflhty5hyz***

This link only works in Tor Browser!

Follow the instructions on this page

---

ATTENTION!

Do not try to recover files yourself, this process can damage your data and recovery will become impossible

Do not rename encrypted files.

Do not waste time trying to find the solution on the Internet.

The longer you wait, the higher will become the decryption key price

Decryption of your files with the help of third parties may cause increased price (they add their fee to our).

Tor Browser may be blocked in your country or corporate network. Use hxxxs://bridges.torproject.org or use Tor

Browser over VPN.

Thanks to the warning wallpaper provided by lockbit, it's easy to use

Перевод текста на русский язык:

ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!

---

Любые попытки восстановить ваши файлы с помощью сторонних программ будут фатальными для ваших файлов!

Восстановить свои данные возможно только купив у нас приватный ключ.

---

Есть только один способ вернуть ваши файлы:

---

01. свяжитесь с нами по UTox Email

uTox ID: ***

hxxxs://utox.org/

Email: contact@contipauper.com

---

02. Через Tor браузер - рекомендуется

Загрузите Tor браузер - hxxxs://www.torproiect.org/ и установите его.

Открыть ссылку в Tor браузере - hxxx://zqaflhty5hyz***

Эта ссылка работает только в Tor браузере!

Следуйте инструкциям на этой странице

---

ВНИМАНИЕ!

Не пытайтесь восстановить файлы сами, этот процесс может повредить ваши данные и восстановление станет невозможным.

Не переименовывайте зашифрованные файлы.

Не тратьте время на поиски решения в Интернете.

Чем дольше вы ждете, тем выше станет цена ключа дешифрования.

Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию (они добавляют свою цену к нашей).

Браузер Tor может быть заблокирован в вашей стране или в корпоративной сети. Используйте hxxxs://bridges.torproject.org или используйте браузер Tor через VPN.

Благодаря предупреждающим обоям, предоставленным lockbit, им легко пользоваться

Технические детали

Первоначальный доступ к сети осуществляется с помощью атаки ProxyShell на серверы Microsoft Exchange, эксплуатируя найденные недавно уязвимости (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Затем злоумышленники захватывают контроллер домена организации, используя новый эксплойт PetitPotam, который под контролемLockFile принудительно выполняет аутентификацию на удаленном NTLM-реле. PetitPotam имеет несколько вариантов. На момент написания статьи официальные средства защиты и обновления Microsoft пока еще не полностью блокируют вектор атаки PetitPotam. Злоумышленники, стоящие за LockFile, полагаются на общедоступный код для использования исходного варианта PetitPotam (CVE-2021-36942).

При эксплуатации уязвимости злоумышленники используют технологию PowerShell, которую сами Microsoft уже много лет продвигают в своих ОС Windows как легитимную и полезную.

Злоумышленники сохраняют доступ к пострадавшей сети жертвы как минимум в течение нескольких дней от начала атаки LockFile Ransomware.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Согласно исследованиям специалистов BleepingComputer этот LockFile Ransomware довольно тяжеловат для компьютеров, занимает много ресурсов и подвешивает систему. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

LOCKFILE-README.hta - файл с требованием выкупа;

[victim_name]-LOCKFILE-README.hta - файл с требованием выкупа;

active_desktop_render.dll - первичный вредоносный файл;

active_desktop_launcher.exe - первичный вредоносный файл;

autoupdate.exe - вредоносный файл, уникальный для каждой жертвы; 

EfsPotato.exe - вредоносный файл, который использует PetitPotam;

autologin.bat - вредоносный командный файл для запуска;

autologin.exe (Hamakaze.exe) - название файла из KDU toolkit; 

autologin.dll (Tanikaze.dll) - название файла из KDU toolkit; 

autologin.sys - название файла из KDU toolkit; 

KDU toolkit - набор инструментов Kernel Driver Utility.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
IP: 209.14.0.234

Tor-URL: hxxx://zqaflhty5hyz***

Email: contact@contipauper.com
UTox: скрыт

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291 - active_desktop_render.dll

cafe54e85c539671c94abdeb4b8adbef3bde8655006003088760d04a86b5f915 - autoupdate.exe

36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9 - autologin.sys

5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f - autologin.exe

1091643890918175dc751538043ea0743618ec7a5a9801878554970036524b75 - autologin.dll

2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a - autoupdate.exe

7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd - efspotato.exe

c020d16902bd5405d57ee4973eb25797087086e4f8079fac0fd8420c716ad153 - active_desktop_render.dll

a926fe9fc32e645bdde9656470c7cd005b21590cda222f72daf854de9ffc4fe0 - autoupdate.exe

368756bbcaba9563e1eef2ed2ce59046fb8e69fb305d50a6232b62690d33f690 - autologin.sys

d030d11482380ebf95aea030f308ac0e1cd091c673c7846c61c625bdf11e5c3a - autoupdate.exe

a0066b855dc93cf88f29158c9ffbbdca886a5d6642cbcb9e71e5c759ffe147f8 - autoupdate.exe

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as LockFile)
 Write-up, Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Symantec Threat Hunter Team, BleepingComputer, 
 Andrew Ivanov (article author), Michael Gillespie, 
 VirITeXplorer, JAMESWT_MHT
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

GetYourFilesBack

GetYourFilesBack Ransomware

Ncorbuk Py Ransomware

Python-Ransomware, Eduware

(шифровальщик-вымогатель, обучатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название в исходниках: Python-Ransomware. На файле написано: Document.exe. Написан на языке программирования Python.
---
Обнаружения:
DrWeb -> Python.Encoder.39
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.jwcpb
BitDefender -> Gen:Variant.Bulz.566574
ESET-NOD32 -> Python/Filecoder.DP
Kaspersky -> Trojan-Ransom.Win64.Agent.dmc
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Ransom.Wannacry
TrendMicro -> TROJ_FRS.VSNTH221
---

© Генеалогия: другие Python-вымогатели >> Cyrat Python > GetYourFilesBack (Python-Ransomware) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Образец этого крипто-вымогателя был найден в начале августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Не было получено доказательства активного распространения. 

Исходники находятся на сайте Github.com с 2019 года. Неясно, создан исполняемый образец GetYourFilesBack самим автором-разработчиком из исходников или кто-то другой скомпилировал его для собственной выгоды от вымогательства. 

В 2020 году в Дайджесте был описан Cyrat Python Ransomware, удивительно похожий на GetYourFilesBack, но некоторые визуальные элементы изменены. 

Записка с требованием выкупа называется: RANSOM_NOTE.txt

Содержание записки о выкупе:

The harddisks of your computer have been encrypted with an Military grade encryption algorithm.

There is no way to restore your data without a special key.

Only we can decrypt your files!

To purchase your key and restore your data, please follow these three easy steps:

1. Email the file called EMAIL_ME.txt at C:\Users\Admin/Desktop/EMAIL_ME.txt to GetYourFilesBack@protonmail.com

2. You will recieve your personal BTC address for payment.

   Once payment has been completed, send another email to GetYourFilesBack@protonmail.com stating "PAID".

   We will check to see if payment has been paid.

3. You will receive a text file with your KEY that will unlock all your files. 

   IMPORTANT: To decrypt your files, place text file on desktop and wait. Shortly after it will begin to decrypt all files.

WARNING:

Do NOT attempt to decrypt your files with any software as it is obselete and will not work, and may cost you more to unlcok your files.

Do NOT change file names, mess with the files, or run deccryption software as it will cost you more to unlock your files-

-and there is a high chance you will lose your files forever.

Do NOT send "PAID" button without paying, price WILL go up for disobedience.

Do NOT think that we wont delete your files altogether and throw away the key if you refuse to pay. WE WILL.

Перевод записки на русский язык:

Жесткие диски вашего компьютера зашифрованы с алгоритмом шифрования военного уровня.

Без специального ключа невозможно восстановить ваши данные.

Только мы можем расшифровать ваши файлы!

Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:

1. Отправьте файл EMAIL_ME.txt с C:\Users\Admin/Desktop/EMAIL_ME.txt по email на адрес GetYourFilesBack@protonmail.com.

2. Вы получите свой личный BTC-адрес для оплаты.

   После завершения платежа отправьте еще один email на GetYourFilesBack@protonmail.com с указанием "PAID".

   Мы проверим, внесена ли оплата.

3. Вы получите текстовый файл с КЛЮЧОМ, который разблокирует все ваши файлы.

   ВАЖНО: Чтобы расшифровать файлы, поместите текстовый файл на рабочий стол и подождите. Вскоре после этого начнут расшифровываться все файлы.

ПРЕДУПРЕЖДЕНИЕ:

НЕ пытайтесь расшифровать ваши файлы с помощью какой-то программы, так как она устарела и не будет работать, а распаковка файлов может стоить вам дороже.

НЕ меняйте имена файлов, не связывайтесь с файлами и не запускайте программы для дешифрования, так как разблокировка файлов будет стоить вам дороже.

-и высока вероятность того, что вы потеряете свои файлы навсегда.

НЕ отправляйте "PAID" без оплаты, цена за непослушание удвоится.

НЕ думайте, что мы не удалим ваши файлы полностью и не выбросим ключ, если вы откажетесь платить. МЫ ЭТО СДЕЛАЕМ.

Также используется файл EMAIL_ME.txt, который нужно отправить вымогателям. 

Также используется изображение, заменяющее обои Рабочего стола. Текста нет, видимо картинка просто понравилась вымогателям и они её приложили вместо обычного текста. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список целевых директорий:

"Рабочий стол", "Загрузки", "Изображения", "Музыка", "Видео", "Документы"

Файлы, связанные с этим Ransomware:
RANSOM_NOTE.txt - название файла с требованием выкупа;
EMAIL_ME.txt - специальный файл;

PUT_ME_ON_DESKtOP.txt - специальный файл;

Document.exe - название вредоносного файла

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\Desktop\EMAIL_ME.txt

C:\Users\Admin\AppData\Local\Temp\Document.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: GetYourFilesBack@protonmail.com
BTC: 1EHmioBmujNAyVs5A6Uo1nfto9JZhGBDLd

Github.com: ncorbuk/Python-Ransomware

Youtube: ScL07VJJOX4

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5210735409235c1aaf674fefddd33e35

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Python-Ransomware (на Github.com) - 2019

Cyrat Python Ransomware - август 2020

GetYourFilesBack - август 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Salma

Salma Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $50 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ConsoleApplication1.exe, другие названия файлов см. в конце статьи. Вероятно, файлы можно будет расшифровать. 
---
Обнаружения на разные файлы:
DrWeb -> Trojan.DownLoader33.22293 / Trojan.DownloaderNET.188, BackDoor.AsyncRATNET.2 / Trojan.MulDrop18.6953
BitDefender -> Trojan.GenericKD.46701480 / Gen:Variant.Razy.833857
ESET-NOD32 -> A Variant Of MSIL/TrojanDownloader.Agent.HMU / MSIL/TrojanDownloader.Agent.IKV
Malwarebytes -> Trojan.Downloader.MSIL.Generic
TrendMicro -> TROJ_GEN.R002H0CGS21
---

© Генеалогия: ??? >> Salma

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .salma


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была замечена в начале августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: read_me.txt

Содержание записки о выкупе:

what happened to your files?

all of your important files have been encrypted

how to restore your files?

you need to pay 50$ in bitcoin

what guarantee that we would not scam you?

you can send us one test file by email and we will decrypt it for free

how to contact us?

send us an email and the subject contains the id: 211212XXXXXXXXXXXX

our emails: 

mangerman@firemail.de

assistant@firemail.de

Finally:

--donot change the files extension (.salma)

--donot try to change any thing in the files

Перевод записки на русский язык:

что случилось с вашими файлами?

все ваши важные файлы были зашифрованы

как восстановить ваши файлы?

нужно заплатить 50 $ в биткойнах

какая гарантия, что мы вас не обманем?

Вы можете отправить нам один тест-файл по email, и мы бесплатно расшифруем его

как с нами связаться?

отправьте нам email, в теме которого указан id: 211212002417878201

наши email:

mangerman@firemail.de

assistant@firemail.de

Итак:

- не меняйте расширение файлов (.salma)

- не пытайтесь изменить что-либо в файлах

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me.txt - название файла с требованием выкупа;

github.com: school design.gz -> school.scr (ConsoleApplication1.exe) - троян-загрузчик; 

cdn.discordapp.com: 2001400.exe - AsyncRAT - "крыса" для удаленного управления; 

windowsdll.exe (ConsoleApplication1.exe) - вредоносный файл, мульти-дроппер. 

Мьютекс: zfoxpgrsnkfnihoi

AES-key: 1v6C1irnhifSOisAfMGy6AaskKzvBOPA

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mangerman@firemail.de, assistant@firemail.de
URL: неактивный сайт

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS-1: VT, HA, IA, TG, AR, VMR, JSB

MD5: a7bc81ec6667f411f109732bb819a99e

---

IOS-2: VT, HA, IA, TG, AR, VMR, JSB

MD5: c46d96f5697de7d8d67ebeacaebaa7c8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AllDataStolen

AllDataStolen Ransomware

Stolen Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на дисках пользователей (кроме системного), а затем требует выкуп в 3000 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: предыдущие >> AllDataStolen (Stolen)

Изображение — логотип статьи

Все файлы каждого логического диска, кроме системного, помещаются в общий файл ALLDATA.STOLEN

Что представляет собой этот большой файл (архив или образ?), узнать у пострадавших не удалось. Файл слишком большой - 100-200 Гб, чтобы передавать через сайты обмена файлами. 

Имена затронутых логических дисков переменовываются на STOLEN.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в конце июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: READ_ME_SECURITY_WARNING.txt

Содержание записки о выкупе:

All your DATA has been STOLEN

--

For several months we have been downloading your databases, sources software, private email, documents and etc

It's time to discuss the ransom amount

transfer "3000" BITCOINS to our wallet : "bc1qcw4xraclcjevcj4hcrvxtr054538cqq5hgaawq"

if we do not receive the transfer within 30 days, the AMOUNT WILL DOUBLE

if after 45 days you do nothing, then we will sell part of the information on the black market,

and publish some of it in internet, and notify all clients/partners/staff and maximum number of media and bloggers

they will be interested to know all the details about how and that your company has lost the data,

and is trying to hide information about data stolen.

--

After payment, write to us a use secure client Bitmessage

--

address: BM-NBaptUA9UYd1LNe19A13YRVduqXjDZkK

subject : VN100H

We will reply within 72 hours

--

download latest client https://download.bitmessage.org/snapshots/

--

Перевод записки на русский язык:

Все ваши ДАННЫЕ были УКРАДЕНЫ

--

Нескольких месяцев мы загружали ваши базы данных, программное обеспечение, личную email, документы и т.д.

Пришл время обсудить сумму выкупа

переведите "3000" БИТКОИНОВ на наш кошелек: "bc1qcw4xraclcjevcj4hcrvxtr054538cqq5hgaawq"

если мы не получим перевод в течение 30 дней, СУММА УДВОИТСЯ

если через 45 дней вы ничего не сделаете, то мы продадим часть информации на черном рынке,

и опубликуем что-то в Интернете, и сообщим всем клиентам / партнерам / сотрудникам и многим СМИ и блогерам

им будет интересно узнать все подробности о том, что ваша компания потеряла данные,

и пытается скрыть информацию о похищенных данных.

--

После оплаты напишите нам используя безопасный клиент Bitmessage

--

адрес: BM-NBaptUA9UYd1LNe19A13YRVduqXjDZkK

предмет: VN100H

Мы ответим в течение 72 часов

--

скачать последний клиент https://download.bitmessage.org/s

--

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_SECURITY_WARNING.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Bitmessage: BM-NBaptUA9UYd1LNe19A13YRVduqXjDZkK
BTC: bc1qcw4xraclcjevcj4hcrvxtr054538cqq5hgaawq

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOS: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.