Ryuk.Net

Ryuk.Net Ransomware

Ryuk .Net Ransomware Builder v1.0

(шифровальщик-вымогатель, крипто-строитель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $1500 в BTC, чтобы вернуть файлы. Оригинальное название: Ryuk .Net Ransomware Builder v1.0. На распространяемом файле написано: Ryuk .Net Ransomware Builder.exe. 

---

✋ Вредоносная программа по коду и платежной информация не соответствует никаким реальным операциям Ryuk Ransomware, известного с 2018 года.

---
Обнаружения:
DrWeb -> Trojan.Encoder.34010
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> ***
Kaspersky -> HEUR:Constructor.MSIL.Agent.gen
Malwarebytes -> Ransom.Builder
Microsoft -> Trojan:Win32/Ymacco.AA0D
Rising -> ***
Symantec -> Trojan Horse
Tencent -> ***
TrendMicro -> TROJ_FRS.VSNTF921
---

© Генеалогия: ✂ Ryuk (взято название) >> Ryuk.Net

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted

Желающий создать свою програму-вымогатель может в настройках криптостроителя поменять расширение на любое другое. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале июня 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа написана на изображении, которое предлагается открыть по ссылке xxxxs://i.ibb.co/DDKCCQW/Screenshot-2.png: 

Содержание информационной записки:

All of your files have been encrypted

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.

The price for the software is $1,500. Payment can be made in Bitcoin only.

How do I pay, where do I get Bitcoin?

Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin.

Many of our customers have reported these sites to be fast and reliable:

Coinmama - hxxps://www. coinmama.com 

Bitpanda - hxxps://www.bitpanda.com

Payment information

Amount: 0.1473766 BTC

Bitcoin Address: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg

Перевод информационной записки на русский язык:

Все ваши файлы зашифрованы

Ваш компьютер заражен вирусом-вымогателем. Ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи.

Что я могу сделать, чтобы вернуть свои файлы?

Вы можете купить нашу специальную программу для дешифрования, эта программа позволит вам восстановить все ваши данные и удалить ransomware с вашего компьютера.

Стоимость программы - $1500. Оплатe можно делать только в биткойнах.

Как мне заплатить, где мне взять биткойн?

Покупка биткойнов варьируется от страны к стране, лучше всего выполнить быстрый поиск в Google, чтобы узнать, как купить биткойн.

Многие из наших клиентов отметили, что эти сайты работают быстро и надежно:

Coinmama - hxxps://www. coinmama.com

Битпанда - hxxps://www.bitpanda.com

Платежная информация

Сумма: 0.1473766 BTC

Биткойн-адрес: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию / перезаписи:
.7z, .7-zip, .accdb, .ace, .apk, .arj, .asp, .aspx, .avi, .backup, .bak, .bay, .bmp, .bz2, .cab, .cer, .contact, .core, .cpp, .crt, .cs, .css, .csv, .dat, .db, .dll, .doc, .docx, .dwg, .exif, .flv, .gzip, .htm, .html, .ibank, .ico, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .js, .lnk, .lzh, .m4a, .mdb, .mkv, .mov, .mp3, .mp3, .mp3, .mp4, .mpeg, .mpg, .odt, .p7c, .pas, .pdb, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rb, .rtf, .settings, .sie, .sql, .sum, .tar, .txt, .wallet, .wma, .wmv, .xls, .xlsb, .xlsm, .xlsx, .xml, .xz, .zip (86 типов файлов). 

Может перезаписать все файлы на компьютере. Об этом предупреждается в файле README.md на сайте проекта. 

Содержание текста: 

# ryuk-ransomware 

TRY ON VM ONLY. Ryuk .Net Ransomware overwrites all files on the computer (It means nobody can ever return files back) and makes it at least 2

times faster than other ransomwares. It drops read_it.txt for startup folder and all folders which files has been encrypted. 

This project depends on your donation. Please donete if you want to see next releases in the future

(https://i.ibb.co/DDKCCQW/Screenshot-2.png

Donation

Bitcoin: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0

Monero: 44wJKzwrzWY7dxLov4EjVia3wmwaj6ige6a8C6eHKXKtVy8PTU3SnCG6A6do3vL4Cu3kLUedKwjomDKe754QhshVJw52xFV

Среди перезаписанных или зашифрованных наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., которые являются наиболее ценными для пользователей ПК. 

Файлы, связанные с этим Ransomware:
README.md - название файла с предупреждением об использовании только на вируальных машинах; 

read_it.txt - текстовый файл записки; 

svchost.exe - выходной исполняемый файл; 
Ryuk .Net Ransomware Builder.pdb - название файла проекта; 

Ryuk .Net Ransomware Builder.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

c:\Users\User\Desktop\builder\CustomWindowsForm\obj\Debug\Ryuk .Net Ransomware Builder.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Ссылка на картинку: xxxxs://i.ibb.co/DDKCCQW/Screenshot-2.png

Email: - 
BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0

XMR: 44wJKzwrzWY7dxLov4EjVia3wmwaj6ige6a8C6eHKXKtVy8PTU3SnCG6A6do3vL4Cu3kLUedKwjomDKe754QhshVJw52xFV

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Security Joes, Vitali Kremez
 Andrew Ivanov (article author)
 GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HimalayA

HimalayA Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
ALYac -> 
Avira (no cloud) -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие разработки >> HimalayA

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя не наблюдалась. Сообщение появилось на форуме Даркнета в начале июня 2021 г. Предоставляется как RaaS с запретом проведения атак на компьютерные системы в области здравоохранение и некоммерческие организации. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Содержание сообщения:

Ransomware as a Service - HimalayA

We offer ransomware for free!

We take a commission of 30% of all ransoms paid

We send the part of your ransom maximum 24 hours after confirmation of the transaction

We manage communication with victims

VERY IMPORTANT WARNING :

PROHIBITION OF ATTACKING HEALTH FACILITIES

PROHIBITION OF ATTACKING ANY PUBLIC ORGANIZATION OR NON-PROFIT ASSOCIATION

ONLY ATTACK PRIVATE COMPANIES OR INDIVIDUALS

Already configured and compiled FUD Ransomware.

AES 256 Encryption

x86 / x64 for Windows

Files types HimalayA encrypt :( by default )

'.txt', '.ppt', '.pptx', '.doc', '.docx', '.gif', '.jpg', '.png', '.ico', '.mp3', '.ogg', '.csv', '.xls', '.exe', '.pdf', '.ods', '.odt', '.kdbx', '.kdb', '.mp4', '.flv', '.jpeg', '.zip', '.tar', '.tar.gz', '.rar',

You can change by specifying your request when ordering

Directory HimalayA encrypt : ( by default )

'Downloads', 'Documents', 'Pictures', 'Music', 'Desktop', 'Onedrive',

You can change by specifying your request when ordering

ORDER

Send us an email specifying :

- The amount in btc/xmr of the ransom requested

- A btc/xmr address for the payment of your share of the ransoms

- Options files types encrypt

- Option directorys encrypt

himalayaraas@dnmx.org

Перевод сообщения на русский язык:

Программа-вымогатель как услуга - HimalayA

Мы предлагаем программы-вымогатели бесплатно!

Мы берем комиссию в размере 30% от всех уплаченных выкупов.

Мы отправляем часть вашего выкупа максимум через 24 часа после подтверждения транзакции.

Управляем общением с жертвами

ОЧЕНЬ ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ:

ЗАПРЕТ НА АТАКУ МЕДИЦИНСКИХ УЧРЕЖДЕНИЙ

ЗАПРЕТ НА АТАКУ ОБЩЕСТВЕННЫХ ОРГАНИАЗАЦИЙ ИЛИ НЕКОММЕРЧЕСКИХ АССОЦИАЦИЙ

РАЗРЕШЕНЫ АТАКИ ТОЛЬКО НА ЧАСТНЫЕ КОМПАНИИ ИЛИ ЛИЦА

Уже настроено и скомпилировано FUD Ransomware.

Шифрование AES 256

x86 / x64 для Windows

Типы шифруемых HimalayA файлов : (по умолчанию)

'.txt', '.ppt', '.pptx', '.doc', '.docx', '.gif', '.jpg', '.png', '.ico', '.mp3', '.ogg', '.csv', '.xls', '.exe', '.pdf', '.ods', '.odt', '.kdbx', '.kdb', '.mp4', '.flv', '.jpeg', '.zip', '.tar', '.tar.gz', '.rar',

Вы можете изменить, указав свой запрос при заказе

Шифруемые HimalayA каталоги: (по умолчанию)

"Загрузки", "Документы", "Изображения", "Музыка", "Рабочий стол", "Onedrive",

Вы можете изменить, указав свой запрос при заказе

ЗАКАЗ

Отправьте нам email с уточнением:

- Суммы запрошенного выкупа в btc/xmr 

- Адреса btc/xmr для выплаты вашей доли выкупа 

- Параметров шифруемых типов файлов 

- Возможности шифрования каталогов 

himalayaraas@dnmx.org

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию по умолчанию:

.csv, .doc, .docx, .exe, .flv, .gif, .ico, .jpeg, .jpg, .kdb, .kdbx, .mp3, .mp4, .ods, .odt, .ogg, .pdf, .png, .ppt, .pptx, .rar, .tar, .tar.gz, .txt, .xls, .zip (26 типов файлов). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Директории, в которых файлы шифруются по умолчанию:
Downloads, Documents, Pictures, Music, Desktop, Onedrive. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: ohu6eschnuhxfg46wvco7j3e76oqymo4cowfepbi7h6z3vf6if6lj5yd.onion

Email: himalayaraas@dnmx.org
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 RAKESH KRISHNAN
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ChupaCabra

ChupaCabra Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.003 BTC, чтобы вернуть файлы. Оригинальное название: ChupaCabra. На файле написано: svhost.exe.

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.22
Avira (no cloud) -> TR/CrypMod.udrkf
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypmod.gen
Malwarebytes -> Trojan.MalPack.Generic
Microsoft -> Trojan:Win32/Ymacco.AB21
Rising -> ***
Symantec -> Ransom.HiddenTear!g1
Tencent -> ***
TrendMicro -> Ransom_Crypmod.R002C0OFB21
---

© Генеалогия: ✂ HiddenTear + Anubis ? >> ChupaCabra

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ChupaCabra


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: HowToDecrypt.txt
Она дублируется всплывающим сообщением. 

Содержание записки о выкупе:

IMPORTANT INFORMATION!!!!

All your files are encrypted with ChupaCabra: v.2.0 Reload

To Decrypt:

 - Send 0.00364383 BTC to: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q

 - Contact me Telegram: @C_h_u_p_a_K_a_b_r_a

Перевод записки на русский язык:

ВАЖНАЯ ИНФОРМАЦИЯ!!!!

Все ваши файлы зашифрованы с помощью ChupaCabra: v.2.0 Reload

Чтобы расшифровать:

  - Отправить 0.00364383 BTC на адрес: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q

  - Свяжитесь со мной в Telegram: @C_h_u_p_a_K_a_b_r_a

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Содержит майнер XMRig для майнинга криптовалюты Monero.

Файлы, связанные с этим Ransomware:
HowToDecrypt.txt - название файла с требованием выкупа;
svhost.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Administrator\Videos\AnubisNew(1)\obj\Debug\svhost.pdb

C:\Users\Administrator\Videos\AnubisNew(1)\obj\Debug\svhost.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://anubiscloud.xyz/

Email: - 
Telegram: @C_h_u_p_a_K_a_b_r_a

BTC: 1Eh4f3p2fQVjfyHAyJ2rCqjUgDxPgjJE5q
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Bam-2021

Bam-2021 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Mau bao cao 2.docx.exe. 

Фактически Bam-2021 повторяет собой Bam! Ransomware из 2017 года, но файл был изменен несколько раз. Более того, нет никаких данных о том, что за ним стоят те же разработчики, в новой версии нет email-контакта. Более того, прошло почти 4 года, это много по любым меркам. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34003
Avira (no cloud) -> TR/FileCoder.whnqx
BitDefender -> DeepScan:Generic.Ransom.Bam.EDBFCFA5
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEB
Kaspersky -> HEUR:Trojan-Ransom.Win32.Cryptor.gen
Malwarebytes -> Malware.AI.2716773224
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ecup
TrendMicro -> TROJ_GEN.R002H09F421
---

© Генеалогия: Bam! (2017) > Bkav > пропуск в 4 года > Bam-2021

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bam!

Зашифрованные файлы также помечаются специальным маркером: .bam! 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Вероятно сделан во Вьетнаме, если Google-переводчик правильно определил слова "Mau bao cao" (Mẫu báo cáo), написанные на распространяемом вредоносном файле. 

Записка с требованием выкупа написана на изображении, заменяющем обои Рабочего стола: 

Содержание записки о выкупе:

YOUR COMPUTER AND FILES ARE ENCRYPTED

Your files will be lost on: 23:58:26

Encryption was made with a special crypto-code!

There are NO CHANCE to decrypt it without our special software and your unique private key!

To decrypt files. Send $300 worth of bitcoin to this address:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Перевод записки на русский язык:

ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ

Ваши файлы будут потеряны: 23:58:26

Шифрование сделано специальным криптокодом!

НЕТ ШАНСА расшифровать это без нашей специальной программы и вашего уникального закрытого ключа!

Для расшифровки файлов. Отправьте $300 в биткойнах на этот адрес:

1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3dm, .3ds, .accdb, .ARC, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .der, .dif, .doc, .docm, .docx, .dot, .dotm, .dwg, .eml, .fla, .flv, .frm, .gif, .hwp, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .odb, .odp, .ods, .odt, .p12, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tgz, .tif, .tiff, .txt, .vbs, .vdi, .vmdk, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (122 типа файлов). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бекапы и пр.

Файлы, связанные с этим Ransomware:
Notify.jpg - название файла с требованием выкупа; 
Mau bao cao 2.docx.exe - название вредоносного файла; 

SimulationSpyware.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\TuongND\Desktop\APTClient\Release\SimulationSpyware.pdb

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-2455352368-1077083310-2879168483-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\Desktop\\Notify.jpg"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bam! (Bam) Ransomware - июль 2017

Bkav Ransomware - август 2017 

--- 4 года пропуска ---

Bam! Ransomware - июнь 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Bam!)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.