AgeLocker

AgeLocker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и корпоративных сетей с помощью алгоритмов X25519 (с кривой ECDH), ChaChar20-Poly1305, HMAC-SHA256, а затем требует выкуп в 1-7 BTC, чтобы вернуть файлы. Оригинальное название: AgeLocker или безымянный. Написан на языке Go. Предназначен для Mac и Linux. 

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Age >> AgeLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется персонализированное расширение, созданное на основе инициалов жертвы. Шаблон можно записать следующим образом:
.<abbreviated_PC/user_name>
.<personalized_extension>

В одном из рассмотренных примеров было расширение: .sthd2

Имена файлов зашифрованы, кроме того к каждому зашифрованному файлу добавляется текстовый заголовок, который начинается с URL-адреса age-encryption.org

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа присылается жертве по email и называется: 
security_audit_<company_name>.eml

Содержание записки о выкупе:
Hello ***,
Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme. 
File names encrypted too.
Encrypted hosts are:
Storage:
 1. ***
 2. ***
 3. ***
Mac + external drives
 1. ***
 2. ***
 3. ***
You have to pay for decryption in Bitcoins.
The price depends on how fast you write us.
After payment we will send you the tool(for mac and linux) that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Note: we can answer up to 6-9 hours, because of another timezone.

Перевод записки на русский язык:
Привет ***,
К сожалению, вредоносная программа заразила вашу сеть, и миллионы файлов были зашифрованы с использованием гибридной схемы шифрования.
Имена файлов тоже зашифрованы.
Зашифрованные хосты:
Место хранения:
 1. ***
 2. ***
 3. ***
Mac + внешние накопители
 1. ***
 2. ***
 3. ***
Вы должны заплатить за расшифровку в биткойнах.
Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент (для Mac и Linux), который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки.
Общий размер файлов должен быть менее 4 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.), имя файла не должно изменяться.
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
Примечание: мы можем ответить до 6-9 часов из-за другого часового пояса. 

Технические детали

Нет данных о распространении, скорее всего может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
security_audit.eml - email-сообщение с требованием выкупа

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
GitHub: xxxxs://github.com/FiloSottile/age/
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as AgeLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 peakapot, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Panther

Panther Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 XMR, чтобы вернуть файлы. Оригинальное название: panther. На файле написано: ransom_subpe.exe

Обнаружения:
DrWeb -> Trojan.Encoder.32108
BitDefender -> Gen:Heur.Ransom.Imps.1
Avira (no cloud) -> TR/AD.RansomHeur.ospwe
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCT
Kaspersky -> Trojan-Ransom.Win32.Agent.axvp
Malwarebytes -> Ransom.Panther
Microsoft -> Ransom:Win32/Panther.G!MTB
Rising -> Ransom.Agent!1.C8A5 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Agent.Wpjp
TrendMicro -> Ransom.Win32.PANTHER.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Panther

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .panther


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Штамп даты: 30 июня 2020. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
LOCKED_README.txt
LOCKED_README.bmp

Первым информатором жертвы является изображение LOCKED_README.bmp, заменяющее обои Рабочего стола, с текстом на английском. 

 

Текст сообщает о необходимости ознакомиться с содержанием файла LOCKED_README.txt (на китайском языке). 

Содержание записки о выкупе:

哎呀...你的全部文件已经被加密,你暂时无法使用他们了 XD
但这不意味着你失去了他们,只要使用一个特殊的key即可解密并恢复你的文件
你大可以尝试你想到的所有方法来恢复你的文件,但相信我,你会浪费一大把时间,
最终依然无法恢复工作.(不信者请自行查阅 'RSA4096位破解')
但如果使用我们的帮助,你可以在一小时内完好如初恢复所有的文件,只要你按照以下的提示来做
 [1] 访问 https://www.torproject.org/download/ 下载 tor browser(洋葱浏览器)
 [2] 安装 ,具体的过程以及配置请百度
 [3] 访问以下地址,阅读事项后可发送"个人ID"以验证你的身份
http://tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
  (注:访问等待较长,请耐心等待)
 如果你无法访问,不妨试试这个 : http://123.57.50.25:5000/
 [3] 根据服务器提示购买密钥后,发送你的 "BIT KEY"
 [4] 稍作等待,你便可以收到我们发送给您的解密器了
 [5] 使用解密器,你可以在一小时内恢复工作
你的个人ID : kyrVAH0ILsN4qSbxQxwVng==
========start BIT KEY========
GoZJmt5eyQ55tK2JSjdnExAeO0sZZm557IxAZU/mBk+z5jRsPjxX5YjrljBoXcG2Lo7/dvgIq
***
========end BIT KEY========
如果你有更多的问题,欢迎联系我们进行咨询!

Перевод на русский язык:
К сожалению... все ваши файлы были зашифрованы, и вы временно не можете их использовать XD
Но это не значит, что вы их потеряли, просто используйте специальный ключ для расшифровки и восстановления ваших файлов
Вы можете попробовать все методы, какие пожелаете, чтобы восстановить ваши файлы, но, поверьте мне, вы потратите много времени,
В конце концов, вы не сможете возобновить работу (неверящие, пожалуйста, почитайте о "взломе RSA4096")
Но если вы воспользуетесь нашей помощью, вы сможете восстановить все файлы без изменений в течение часа, если вы будете следовать инструкциям ниже
[1] Посетите https://www.torproject.org/download/, чтобы загрузить браузер (onion browser)
[2] Про процесс установки и конфигурация, пожалуйста, ищите в Baidu
[3] Посетите следующий адрес, после прочтения можете отправить "личный ID", чтобы подтвердить свою личность
http://tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
(Примечание: время ожидания велико, наберитесь терпения)
Если вы не можете получить к нему доступ, попробуйте это: http://123.57.50.25:5000/
[3] После покупки ключа по запросу сервера отправьте "BIT KEY"
[4] Подождите немного, вы получите расшифровщик, который мы вам отправили
[5] Используя расшифровщик, вы можете возобновить работу в течение часа
Ваш персональный ID: kyrVAH0ILsN4qSbxQxwVng ==
======== начать BIT KEY ========
GoZJmt5eyQ55tK2JSjdnExAeO0sZZm557IxAZU / мБк + z5jRsPjxX5YjrljBoXcG2Lo7 / dvgIq
***
======== end BIT KEY ========
Если у вас есть дополнительные вопросы, пожалуйста, свяжитесь с нами для консультации!

---

Содержание текста на сайте вымогателей:
panther 软件服务,欢迎你 VICTIM
当你看到这个页面,恭喜你距离恢复你的文件又近了一步
请仔细阅读以下注意事项:
[1] 恢复服务不是免费的,而且有时间限制
    -3天以内,均为 '1' xmr(门罗币) 约 300人民币
    -3天至一周之间,价格翻倍
    -一周以上,你的解密密钥将被永久删除,这时没有人可以解密你的文件了
    (如果你不相信,可以去搜索'RSA加密算法破解'了解你的处境 XD)
[2] xmr(门罗币)为数字加密货币,到账需要时间,所以请尽快,不要耽误时机
[3] 有关数字货币购买的方法请自行百度(你需要钱包)
[4] 购买后请将其发送到这个地址 : 
    493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKa
    XdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
    (注意发送时去除换行和空格)
[5]支付后,你可以选择通过本平台联系我们,或者通过邮件,将你的
     *钱包地址
     *个人BIT KEY
发邮件给我们 ( zewen93341@126.com ),我们在收到货款后会立即与你联系解密事项
(推荐以上的自助方式购买,以免因为错过交谈时间而需要加价)
尽快行动吧,我们每天9:00-21:00在线,如果有问题请发消息给我们
如果长时间得不到回复,可以发邮件到 : zewen93341@126.com , 我们会第一时间回复你

Перевод текста на русский язык:
Служба поддержки приветствует вас, panther ЖЕРТВА
Если вы видите эту страницу, поздравляем, вы на шаг ближе к восстановлению ваших файлов
Пожалуйста, внимательно прочитайте следующий текст:
[1] Служба восстановления не является бесплатной и имеет ограничение по времени
    - в течение 3 дней всего 1 XMR (Монеро) около 300 юаней
    - от 3 дней до недели цена удваивается
    - больше одной недели ваш ключ дешифрования будет удален, потом никто не сможет расшифровать ваши файлы
    (Если вы не верите этому, вы можете поискать "взлом алгоритма шифрования RSA", чтобы понять вашу ситуацию XD)
[2] XMR (Монеро) - это криптовалюта шифрования, для ее получения требуется время, поэтому, пожалуйста, сделайте это как можно скорее и не откладывайте возможность
[3] Для метода покупки цифровой валюты, пожалуйста, используйте Baidu (вам нужен кошелек)
[4] Пожалуйста, отправьте его по этому адресу после покупки:
    493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKa
    XdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
    (Обратите внимание, что перенос строки и пробелы удаляются при отправке)
[5] После оплаты вы можете связаться с нами через эту платформу или отправить
     * Адрес кошелька
     * Персональный BIT KEY
Отправьте нам письмо на email (zewen93341@126.com), и мы свяжемся с вами для вопроса расшифровки сразу после получения оплаты.
(Рекомендуем вышеуказанный способ самостоятельной покупки, чтобы не увеличивать цену из-за отсутствия времени на разговор)
Действуйте как можно скорее, мы на сайте каждый день с 9:00-21:00, если у вас есть какие-либо вопросы, пожалуйста, отправьте нам сообщение
Если вы не можете получить ответ в течение долгого времени, вы можете отправить email на адрес: zewen93341@126.com, мы ответим вам как можно скорее.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LOCKED_README.txt - название файла с требованием выкупа
LOCKED_README.bmp - изображение, заменяющее обои Рабочего стола
ransom_subpe.exe - исполняемый файл шифровальщика
ransom_loader.vmp.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
URL: http://123.57.50.25:5000/
Email: zewen93341@126.com
XMR (Monero): 493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKaXdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
Этот XMR-кошелек известен с июня 2018 года. 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Инструмент "360 ransomware decryption tools" может расшифровать файлы.
Ссылка: https://free.360totalsecurity.com/totalsecurity/FileDec/desetup_en.exe*
*
Или напишите Майклу Джиллеспи в Твиттер по ссылке >>

 Read to links: 
 Tweet on Twitter  + Tweet + Tweet + myTweet
 ID Ransomware (ID as Panther)
 Write-up, Topic of Support
 * 

 Thanks: 
 xiaopao, Michael Gillespie, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Aris Locker

ArisLocker Ransomware

Aris Locker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB режим) + RSA, а затем требует выкуп $75 в BTC (с угрозой поднятия до $500), чтобы вернуть файлы. Оригинальное название: Aris и Aris Locker. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Aris Locker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aris


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
ARIS LOCKER
Hello.
Congrats you have been hit by the ArisLocker so lets talk about recovering your files. First off don't even waste your time with free decrypters.
Aris Locker uses 256 aes bit encryption which means its impossible to bruteforce or attempt to recover your files. So here are the steps to recovering
your files. First off let me prefix this by saying reporting this malware or leaving a bad review on the product will instantly disqualify you from recovering
your files, so if you wish to see your files in any shape or form I reccomend you keep quiet and follow these steps:

---

1. Download BitPay: https://bitpay.com/ This can also be downloaded from the microsoft store.

2. Purchase $75 in bitcoin using the buy crypto option

3. Send that $75 in bitcoin to this addr: {_BITCOIN_ADDR}

4. After you have sent the money send an email to {_EMAIL} saying that you have paid and please Include your user id.

5. Wait roughly 4 hours, I will send you your decrypter and key which can be used to decrypt all files encrypted by the ran

---

YOU HAVE ONE WEEK, AFTER ONE WEEK DECRYPTING YOUR FILES WILL BECOME $500

REPORTING THIS FILE TO ANYONE WILL RESULT IN A FULL LOSS OF FILES

FAILING TO PAY WILL RESULT IN YOUR PERSONAL DETAILS SUCH AS:

- IP

- Address

- Username

Перевод записки на русский язык:
Привет.
Поздравляю, вы попали в ArisLocker, так что поговорим о восстановлении ваших файлов. Во-первых, даже не тратьте свое время на бесплатные расшифровщики.
Арис Локер использует 256-битное шифрование AES, это означает, что невозможно взломать или попытаться восстановить ваши файлы. Итак, вот шаги по восстановлению ваших файлов. Прежде всего, позвольте мне поставить префикс, сказав, что сообщение об этой вредоносной программе или плохой отзыв о продукте немедленно лишат вас права на восстановление ваших файлов, поэтому, если вы хотите увидеть ваши файлы в любой форме, я рекомендую вам молчать и выполнить следующие действия:
---
1. Загрузите BitPay: https://bitpay.com/ Это также можно загрузить из Microsoft store.
2. Купите $75 в биткойнах, используя опцию покупки крипто
3. Отправьте $75 в биткойнах на этот адрес: {_BITCOIN_ADDR}
4. После того, как вы отправите деньги, отправьте email на адрес {_EMAIL}, в котором говорится, что вы заплатили, и укажите свой идентификатор пользователя.
5. Подождите около 4 часа, я вышлю вам ваш расшифровщик и ключ, который можно использовать для расшифровки всех зашифрованных файлов. 
---
СООБЩЕНИЕ ОБ ЭТОМ ФАЙЛЕ КОМУ-ЛИБО ПРИВЕДЕТ К ПОЛНОЙ ПОТЕРЕ ФАЙЛОВ
НЕУПЛАТА ПРИВЕДЕТ К ВАШИМ ЛИЧНЫМ ДАННЫМ, ТАКИМ КАК: 
- IP
- Address
- Username

С бесплатного хостинга картинок imgbb.com загружается изображение aris.jpg, которое заменяют обои Рабочего стола. 

Также используется всплывающее окно на экране с просьбой проверить файл readme.txt

Технические детали

Распространяется с помощью email-спама, замаскированного как письмо из банка и вредоносных ссылок. Пример такого письма из "банка" см. на скриншоте ниже. 

Может также начать распространяться путем взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
aris.jpg - изображение заменяющее обои Рабочего стола
<random>.exe - случайное название вредоносного файла

Информация из кода вымогателя: 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: xxxxs://i.ibb.co/g9tTj8H/aris.jpg
Email:
BTC: bc1qef3d3ryemlunehdxtx8xvrkdt3w6cgzj8skl2c
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы могут быть расшифрованы. 
Если вам нужна помощь, обратитесь на форум по ссылке >>

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Aris Locker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Cyble Inc, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WhoLocker

WhoLocker Ransomware

Aliases: Wholocked, Who, XX, Gendarmerie, Mavideo

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.036 BTC (300 EURO), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле шифровальщика написано: xX.exe, mavideo.exe и Gendarmerie B.V.3

Обнаружения на файл dokument.exe:
DrWeb -> Trojan.Nanocore.23
BitDefender -> Trojan.GenericKD.43245898
ALYac -> Backdoor.DarkKomet.gen
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> A Variant Of Win32/TrojanDropper.Agent.SJG
Malwarebytes -> Trojan.Agent
Rising -> Backdoor.DarkKomet!8.13E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0GG320
---
Обнаружения на файл xX.exe:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.*
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> HEUR/AGEN.1129970
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Ryzerlo!8.782 (CLOUD)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom.MSIL.CRYPTEAR.SM
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: HiddenTear >> DarkKomet, Gendarmerie > WhoLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .wholocked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа называется: READ_ME_Heyyyyyyy.txt

Содержание записки о выкупе:
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc.) were encrypted.
The encryption was done using a secret keythat is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
What can I do?
Pay the ransom, in bitcoins, in the amount and wallet below. You can use www.coindirect.com/de - coinbase.com - coinmama.com - LocalBitcoins.com to buy bitcoins.
0,036 Bitcoin = 300 EURO
Send BTC Address = 1NxoWvpXufC5PkagnfWD9Rf19wm5jchVkX

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши документы (базы данных, тексты, изображения, видео, музыка и т. Д.) зашифрованы.
Шифрование выполнено с использованием секретного ключа, который сейчас находится на наших серверах.
Для расшифровки ваших файлов вам нужно купить секретный ключ у нас. Мы единственные в мире, кто может предоставить это для вас.
Что я могу сделать?
Заплатите выкуп, в биткойнах, в сумме и кошельке ниже. Вы можете использовать www.coindirect.com/de - coinbase.com - coinmama.com - LocalBitcoins.com для покупки биткойнов.
0,036 Bitcoin = 300 EURO
Отправьте на BTC Address = 1NxoWvpXufC5PkagnfWD9Rf19wm5jchVkX



Другим информатором жертвы выступает экран блокировки: 

Изображение загружается с сайтов, предоставляющих загрузку изображений всем желающим. Почему-то не всегда размер подстраивается под экран. Мы получили и другие варианты изображений. 

 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Действия, которые выполняет WhoLocker: 
Подключается к C&C-серверу
Читает и изменяет настройки системных сертификатов
Добавляет / изменяет сертификаты Windows
Запускает cmd.exe для выполнения команд и самоудаления
Самоудаляется после шифрования
Изменяет настройки интернет-зон
Изменяет значение автозапуска в реестре (добавляется в Автозагрузку)
Читает настройки Internet Explorer и интернет-кэша

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
xX.exe (mavideo.exe) - исполняемый файл шифровальщика
dokument.exe (1.exe) - исполняемый файл блокировщика

  

 

xc.exe, XVlBzgbaiC.exe - другие исполняемые файлы
READ_ME_Heyyyyyyy.txt - название файла с требованием выкупа

ransom.jpg - изображение, загруженное на компьютер
Wallpaper.jpg - изображение, заменяющее обои Рабочего стола
mavideo.pdb - оригинальное название файла проекта
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\1.exe
C:\Users\User\AppData\Local\Temp\xc.exe
C:\Users\User\AppData\Local\Temp\xX.exe
C:\Users\User\AppData\Local\Temp\XVlBzgbaiC.exe
C:\Users\ahmet\Desktop\x\x\ransomware-fud_2018-master\Gendarmerie B.V.3\obj\Debug\mavideo.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\CLR_PerfMon_StartEnumEvent
HookSwitchHookEnabledEvent
Global\CPFATE_1156_v4.0.30319
Global\SvcctrlStartEvent_A3752DX
Global\BFE_Notify_Event_{e59d25e7-a5de-4189-b874-fbe0748c64a2}
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: https://i.imgur.com/JZpthVI.png
URL изображения: https://i.ibb.co/0FqWJSH/Untitled.png
URL: xxxx://aho414141.beget.tech/x/lending/tds.php
www.google.fr
Email: 
BTC: 1NxoWvpXufC5PkagnfWD9Rf19wm5jchVkX
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
🔻 Triage analysis (xX.exe) >>
Ⓗ Hybrid analysis (dokument.exe) >>
Ⓗ Hybrid analysis (xX.exe) >>
𝚺  VirusTotal analysis (dokument.exe) >>
𝚺  VirusTotal analysis (xX.exe) >>
🐞 Intezer analysis (dokument.exe) >>
🐞 Intezer analysis (xX.exe) >>
ᕒ  ANY.RUN analysis (dokument.exe) >>
ᕒ  ANY.RUN analysis (xX.exe) >>
ⴵ  VMRay analysis (xX.exe) >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Alex Svirid
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.