суббота, 30 ноября 2019 г.

KesLan, TurkishRansom

KesLan Ransomware

TurkishRansom, MMRansom

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в турецких лирах и BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ZZZZZZZZZZ.exe или что-то другое. Разработчик: MMTeam

Обнаружения:
DrWeb -> Trojan.Encoder.30247, Trojan.DownLoader30.47135, Trojan.Encoder.30250, Trojan.Encoder.30252, Trojan.Encoder.30257, Trojan.Encoder.30290
BitDefender ->  Gen:Heur.Ransom.RTH.1, Gen:Heur.Ransom.HiddenTears.1
Symantec -> Ransom.HiddenTear!g1, ML.Attribute.HighConfidence, Downloader
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Rising -> Trojan.Filecoder!8.68 *

© Генеалогия: ✂️ HiddenTear >> KesLan (TurkishRansom)
Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.TR
.MMTeam
.Sifrelendi
.TMTEAM
.TRSomware

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец ноября - начало декабря 2019 г. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: Dosyalarını Kurtarmak İstiyorsan Oku!!!.txt

Содержание записки о выкупе:
Sen: Dosyalarımı Nasıl Kurtarabilirim
Ben: 400 TL Karşılığın'da Dosyalarınızı Kurtarabilirsiniz.
Aksi Taktir'de Dosyalarınızı Sonsuza Kadar Kurtaramazsınız. :)
Kısaca 400 = Decryptor Kapiş?
Sen: Adresi Ver OÇ
BTC(Bitcoin) Address: ***
Ben: Kes Lan

Перевод записки на русский язык:
Вы: Как восстановить мои файлы
Я: 400 турецких лир чтобы восстановить ваши файлы.
Иначе вы не сможете восстановить свои файлы никогда. :)
Короче 400 = за дешифровщик понятно?
Вы: Дайте адрес кошелька
BTC (Биткойн) Адрес: ***
Я: Разговор окончен. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Dosyalarını Kurtarmak İstiyorsan Oku!!!.txt
vicswors.vbs
WindowsFormsApp.exe
<random>.exe - случайное название вредоносного файла
@MMDecrypt0r@.exe - дешифровщик от вымогателей

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: anonymousfiles.io
Email: 
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 декабря 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение-1: .MMTeam
Расширение-2: .Sifrelendi
Записка: Dosyalarını Kurtarmak İstiyorsan Oku!!!.txt
Контакт в Discord: 0xDays#8262
Файл: ZZZZZZZZZZ.exe
Результаты анализов: VT + VT 
➤ Обнаружения: 
Trojan.Encoder.30252
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
   

Обновление от 1 декабря 2019:
Пост в Твиттере >>
Расширение: .TMTEAM
Записка: @Lütfen Beni Oku!@.txt
Контакт в Discord: 0xDays#8262
Файл: ZZZZZZZZZZ.exe
Результаты анализов:  VT + AR
➤ Обнаружения: 
Trojan.Encoder.30257
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Symantec -> Ransom.HiddenTear!g1
 


Обновление от 2 декабря 2019:
Пост в Твиттере >>
Расширение: .TRSomware
Записка: @Lütfen Beni Oku!@.txt
Изображения: @TMTeam@.png, wallpaper.bmp
Контакт в Discord: 0xDays#8262
Файл: ZZZZZZZZZZ.exe
Результаты анализов: VT + AR
➤ Обнаружения: 
Trojan.Encoder.30257
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Symantec -> Ransom.HiddenTear!g1



Обновление от 3 декабря 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .TRSomware
Записка: @Lütfen Beni Oku!@.txt
URL: xxxx://x46d789dsa7985615asd777.rf.gd/
На Рабочий стол отбрасывается файл @MMDecrypt0r@.exe
Файл: ZZZZZZZZZZ.exe
Результаты анализов: VT + AR + VT (@mmdecrypt0r@.exe) + VT (11.vbs)




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, dnwls0719, Raby
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 ноября 2019 г.

TurkStatik

TurkStatik Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: JavaEmbededLibrary.exe

Обнаружения:
DrWeb -> Trojan.Encoder.30023
BitDefender -> Trojan.Agent.EGYV
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
McAfee -> RDN/Ransom
TrendMicro -> Ransom.MSIL.FAKEGLOBE.AB
Avira (no cloud) -> TR/Ransom.qtrbx

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ciphered

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был представлен во второй половине ноября 2019 г. Но был создан и распространялся раньше, т.к. штамп времени создания: 22 сентября 2019. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_DONT_DELETE.txt
Скриншот оригинальной записки
Скриншот перевода на английский

Содержание записки о выкупе:
Sisteminizde önemli gördügümüz datalarinizi sifreledik. Bilindik veri kurtarma yöntemleri ile verilerinizi geri getiremeyeceginizi bilmenizi isteriz.
Bu yöntemler sadece sizin zaman kaybetmenize sebep olacaktir. 
Yinede veri kurtarma firmalari yada programlari kullanmak isterseniz lütfen asil dosyalariniz üzerinde degil,
bunlarin kopyalari üzerinde islem yapiniz ve/veya yaptiriniz.  
Asil dosyalarin bozulmasi verilerinizin geri dönülemez sekilde zarar görmesine sebep olabilir.
Sifrelenen dosyalarinizin asillari, üzerine rast gele veri yazma teknigi kullanilarak silinmistir.
48 saat içerisinde dönüs yapilmadigi taktirde, sistemede kullanilan sifre silinecektir ve verileriniz asla geri döndürülemeyecektir.
Diskleriniz Full disk encryption ile sifrelenmistir yetkisiz müdahale kalici veri kaybina neden olur!
Para Verseniz Daha Açmazlar Diyen Bilgisayarcilara  veya Parani Alir Dosyalarini Vermez Diyen
Etrafinizdaki insanlara inanmayin 
Size Güven Verecek Yeterli Referansa Sahibim
Sizi tanimiyorum, dolayisi ile size karsi kötü duygular beslememin size kötülük yapmamin bir anlami da yok,
amacim sadece bu isten bir gelir elde etmek. Yaptiginiz ödeme sonrasinda
en kisa zamanda verilerinizi eski haline getirmek için sunucunuza baglanacagim.
24 saat içerisinde dönüs yapilmadigi taktirde, sistemede kullanilan sifre silinecektir ve verileriniz asla geri döndürülemeyecektir.
Verilerinizin sifresini çözdürmek için asagidaki iletisim kanalindan bizlere ulasabilirsiniz.
Ulasmak istediginide mutlaka asagida size özel üretilen kodu eklemeyi unutmayiniz.
SITE_CODE: ***
e-mail : decservice@mail.ru
recoverydbservice@protonmail.com

Содержание записки о выкупе (перевод с турецкого на английский):
We have encrypted your important data on your system. We would like you to know that you cannot restore your data with familiar data recovery methods.
These methods will only waste your time.
However, if you want to use data recovery companies or programs, please do not use your original files, process and / or have copies of them.
Corruption of master files can cause irreversible damage to your data.
The originals of your encrypted files have been deleted using random data write technique.
If no return is made within 48 hours, the password used in the system will be deleted and your data will never be restored.
Your disks are encrypted with Full disk encryption and unauthorized interference will result in permanent data loss!
Don't Open Your Money Versus Computing
Don't believe the people around you
I have enough references to give you confidence
I don't know you, so it doesn't make sense that I have bad feelings for you,
My goal is just to make this desirable income. After your payment
I will connect to your server to restore your data as soon as possible.
If no return is made within 24 hours, the password used in the system will be deleted and your data will never be restored.
To decrypt your data, you can contact us via the following communication channel.
If you want to reach, do not forget to add the code that is specially produced below.
SITE_C0DE: ***
e-mail: decservice@mail.ru
recoverydbservice@protonmail.com

Перевод записки (с турецкого на русский язык):
Мы зашифровали ваши важные данные в вашей системе. Мы хотели бы, чтобы вы знали, что вы не сможете восстановить свои данные с помощью известных способов восстановления данных.
Эти способы будут только тратить ваше время.
Однако, если вы хотите использовать компании или программы по восстановлению данных, обрабатывайте и/или используйте их копии, а не исходные файлы.
Повреждение мастер-файлов может привести к необратимому повреждению ваших данных.
Оригиналы ваших зашифрованных файлов были удалены методом случайной записи данных.
Если в течение 48 часов возврат не будет сделан, используемый в системе пароль будет удален, а ваши данные никогда не будут восстановлены.
Ваши диски зашифрованы с помощью полного шифрования диска, и несанкционированное вмешательство приведет к постоянной потере данных!
Не открывайте свои деньги в сравнении с компьютерами
Не верь людям вокруг тебя
У меня достаточно ссылок, чтобы придать вам уверенности
Я вас не знаю, поэтому не имеет смысла, что у меня к вам плохие чувства, и я не хочу ничего с вами делать. Я подключусь к вашему серверу, чтобы восстановить ваши данные в кратчайшие сроки после оплаты.
Если в течение 24 часов возврат не будет сделан, используемый в системе пароль будет удален, а ваши данные никогда не будут восстановлены.
Чтобы расшифровать ваши данные, вы можете связаться с нами по следующему каналу связи.
Если вы хотите успеть, не забудьте добавить код, который специально создан ниже.
SITE_C0DE: ***
email: decservice@mail.ru
recoverydbservice@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_DONT_DELETE.txt
JavaEmbededLibrary.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
WBEMPROVIDERSTATICMUTEX

Сетевые подключения и связи:
Email: decservice@mail.ru, recoverydbservice@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


Внимание!
Файлы можно дешифровать!
Скачайте Emsisoft decryptor по этой ссылке >>
*** Подробное руководство прилагается ***
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as TurkStatik)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jack, Michael Gillespie, Emsisoft
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 19 ноября 2019 г.

Wacatac, DeathRansom

Wacatac Ransomware

DeathRansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью XTEA, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп в BTC, получить программу для расшифровки и вернуть файлы. Оригинальное название: DeathRansom (указано в записке). На файле написано: что попало.

Обнаружения:
DrWeb -> Trojan.Encoder.30115, Trojan.Encoder.30169, Trojan.Encoder.30180, Trojan.PWS.Siggen2.39155, Trojan.DownLoader28.53348, Trojan.Packed2.42133
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Ser.Midie.1067, Trojan.GenericKD.32736773, Gen:Variant.Ulise.88088, Trojan.GenericKD.42039481, Trojan.GenericKD.42040608, Trojan.GenericKDZ.59981
Microsoft -> Trojan:Win32/Fuerboos.A!cl, Trojan:Win32/Tiggre!plock, Trojan:Win32/Emotet.PDS!MTB
VBA32 -> BScope.Exploit.UAC, BScope.Trojan.Wacatac, BScope.Trojan.Download, BScope.Backdoor.Predator
Antiy-AVL -> Trojan/Win32.Wacatac
ALYac -> Trojan.Ransom.DEATHRansom
Kaspersky -> Not-a-virus:HEUR:Downloader.Win32.Gen, Trojan.Win32.Chapak.*, Trojan.Win32.Agent.*, HEUR:Trojan-Downloader.Win32.Bandit.gen
Symantec -> ML.Attribute.HighConfidence, Downloader, Trojan Horse
TrendMicro -> Ransom.Win32.DEATHRANSOM.*, TROJ_FRS.0NA103KR19
Rising -> Backdoor.Predator!8.6DF3*, Trojan.Wacatac!8.10C01*, Trojan.Glupteba!8.AA0*

© Генеалогия: ранние варианты Wacatac >> Wacatac, DeathRansom
Имеется родство с DCRTR и STOP Ransomware (например: Stop-zobm, смотрите также, ссылки IA ниже в результатах анализов и обновлениях). 
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .wctc

Позже стал использоваться вариант, который не добавлял расширение к зашифрованным файлам. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: read_me.txt

Содержание записки о выкупе:
--=    DEATHRANSOM  =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email death@firemail.cc  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email 
              death@cumallover.me
              death@firemail.cc
Your LOCK-ID: A/DWowvWRQrvUGVZL1WVxz3JX8H8BG*** [728 characters]
>>>How to obtain bitcoin:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
>>> Free decryption as guarantee!
Before paying you send us up to 1 file for free decryption.
We recommeded to send pictures, text files, sheets, etc. (files no more than 1mb)
IN ORDER TO PREVENT DATA DAMAGE:
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.

Перевод записки на русский язык:
 --=    DEATHRANSOM  =---
***********************НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ, ПОКА ВСЕ ВАШИ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ ***********************
***** НЕСОБЛЮДЕНИЕ ЭТОГО ТРЕБОВАНИЯ ПРИВЕДЕТ К ПОВРЕЖДЕНИЮ ВАШЕЙ СИСТЕМЫ В СЛУЧАЕ ОШИБОК ДЕШИФРОВКИ. *****
Все ваши файлы, документы, фотографии, базы данных и другие важные
файлы зашифрованы.
Вы не можете расшифровать это самостоятельно! Единственный метод
восстановления файлов заключается в покупке уникального закрытого ключа.
Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете отправить email на death@firemail.cc и расшифруем один файл бесплатно. Но этот файл должен быть не ценным!
Вы действительно хотите восстановить ваши файлы?
Напишите на email
              death@cumallover.me
              death@firemail.cc
Ваш LOCK-ID: A/DWowvWRQrvUGVZL1WVxz3JX8H8BG*** [728 символов]
>>> Как получить биткойны:
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
>>> Бесплатная расшифровка как гарантия!
Перед оплатой вы отправьте нам 1 файл для бесплатной расшифровки.
Мы рекомендуем отправлять картинки, текстовые файлы, листы и т. д. (Файлы не более 1 Мб)
Для того, чтобы предотвратить повреждение данных:
1. Не переименовывайте зашифрованные файлы.
2. Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
3. Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей) или вы можете стать жертвой мошенничества.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Как показали сравнительные тесты и анализ поступающих заявлений от пострадавших, это вымогательство распространяется или сопутствует новым (на ноябрь 2019) образцам STOP Ransomware. Например, сервис Integer Analyze по этой ссылке четко показывает родство файла от STOP-варианта с расширением .zobm. 


➤ UAC не обходит. Требуется разрешение на запуск.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифрует все файлы, кроме тех, чьи полные пути содержат следующие строки:
programdata
$recycle.bin
program files
windows
all users
appdata
read_me.txt
autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db

Файлы, связанные с этим Ransomware:
read_me.txt
wzmjbq.exe
<random>.exe - случайное название вредоносного файла
Wacatac_2019-11-21_02-59.exe

Wacatac_2019-11-20_23-34.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Wacatac Access, Create
HKEY_CURRENT_USER\SOFTWARE\Wacatac\private Access, Write
HKEY_CURRENT_USER\SOFTWARE\Wacatac\public
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: death@firemail.cc, death@cumallover.me
BTC: - 
Malware-URL:
xxxx://webparroquia.es/
xxxx://webparroquia.es/archivosadultos/Wacatac_2019-11-20_00-10.exe
xxxx://steerdemens.com/

xxxxs://iplogger.org/1zqq77
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT> VT> VT> VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 ноября 2019:
Топик на форуме >>
Файлы теперь реально зашифрованы. 
Расширение: отсутствует
Маркер в конце зашифрованных файлов: ABEFCDAB
Записка: read_me.txt
Email: deathransom@airmail.cc
BTC: 1J9CG9KtJZVx1dHsVcSu8cxMTbLsqeXM5N
Результаты анализов: AR + VT + VT + VMR + VT + VMR + VT + VMR
➤ Содержание записки:
?????????????????????????
??????DEATHRansom ???????
?????????????????????????
Hello dear friend,
Your files were encrypted!
You have only 12 hours to decrypt it
In case of no answer our team will delete your decryption password
Write back to our e-mail: deathransom@airmail.cc
In your message you have to write:
1. YOU LOCK-ID: bnJhtLxFGTzBdPXPCDIeH/G4PFVByYChN8ody*** [728 characters]
2. Time when you have paid 0.1 btc to this bitcoin wallet:
1J9CG9KtJZVx1dHsVcSu8cxMTbLsqeXM5N
After payment our team will decrypt your files immediatly
Free decryption as guarantee:
1. File must be less than 1MB
2. Only .txt or .lnk files, no databases
3. Only 1 files
How to obtain bitcoin:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DeathRansom)
 Write-up, Topic of Support
 * 
Added later:
Write-up by BleepingComputer (on November 26, 2019)
*
 Thanks: 
 Michael Gillespie, CyberSecurity GrujaRS
 Andrew Ivanov (author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton