четверг, 17 июня 2021 г.

Poteston

Poteston Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Poteston Ransomware. На файле написано: Windows Session Manager.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34040
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1141806
BitDefender -> Trojan.GenericKD.46508026
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Crypt.MSIL.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> ***
---

© Генеалогия: ??? >> Poteston

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Poteston


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: readme.txt


Содержание записки о выкупе:
All of your files such as Document, photos ,Databases, etc... has been successfully encrypted! are encrypted by Poteston Ransomware   
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
and files should not contain valuable information (databases, backups, large excel sheets, etc.).
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: recovery_Potes@firemail.de
Attention! 
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it
Your personal ID : 71e4g05Zbhuc+s2SSHGlHHWR [total 172 characters]


Перевод записки на русский язык:
Все ваши файлы, такие как документы, фотографии, базы данных и т. д., были успешно зашифрованы! зашифрованы Poteston Ransomware
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
а файлы не должны содержать ценной информации (базы данных, резервные копии, большие таблицы Excel и т. д.).
После оплаты мы вышлем вам расшифровку, которая расшифрует все ваши файлы.
Контакт с нами, используя этот email адрес: recovery_Potes@firemail.de
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это Ваш личный ID:
: 71e4g05Zbhuc+s2SSHGlHHWR [всего 172 символа]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Добавлется в Автозагрузку системы. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа;
Windows Session Manager.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\Windows Session Manager.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery_Potes@firemail.de
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 15 июня 2021 г.

Target_Company

Target_Company Ransomware

"Tohnichi" Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: local.exe. Используется CryptGenRandom для генерации ключа шифрования. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34027
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/GarrantDecrypt.PA!MTB
Rising -> ***
Symantec -> ***
Tencent -> ***
TrendMicro -> Ransom_GarrantDecrypt.R002C0DFG21
---

© Генеалогия: предыдущие > Target_Company

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<target_company>

Пример такого расширения: у файлов атакованной компании "Tohnichi" было расширение: .tohnichi

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: 
How to decrypt files.txt


Содержание записки о выкупе:
Your personal identifier: 07B8AC198***
All files on TOHNICHI network have been encrypted due to insufficient security.
The only way to quickly and reliably regain access to your files is to contact us.
The price depends on how fast you write to us.
In other cases, you risk losing your time and access to data. Usually time is much more valuable than money.
FAQ
Q: How to contact us
A: * Download Tor Browser - https://www.torproject.org/
   * Open link in Tor Browser http://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact
   * Follow the instructions on the website.
Q: What guarantees? 
A: Before paying, we can decrypt several of your test files. Files should not contain valuable information.
Q: Can I decrypt my data for free or through intermediaries?
A: Use third party programs and intermediaries at your own risk. Third party software may cause permanent data loss. 
   Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam. 

Перевод записки на русский язык:
Ваш персональный идентификатор: 07B8AC198 ***
Все файлы в сети TOHNICHI зашифрованы из-за недостаточной безопасности.
Единственный способ быстро и надежно восстановить доступ к вашим файлам - это связаться с нами.
Цена зависит от того, как быстро вы нам напишите.
В других случаях вы рискуете потерять время и доступ к данным. Обычно время гораздо дороже денег.
FAQ
В: Как с нами связаться
О: * Загрузите браузер Tor - https://www.torproject.org/
* Откройте ссылку в браузере Tor 
http://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact
* Следуйте инструкциям на сайте.
В: Какие гарантии?
О: Перед оплатой мы можем расшифровать несколько ваших тест-файлов. Файлы не должны содержать ценной информации.
В: Могу ли я расшифровать свои данные бесплатно или через посредников?
О: Используйте сторонние программы и посредников на свой страх и риск. Программы сторонних производителей могут привести к потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию или вы можете стать жертвой мошенничества.


Пострадавшая компания, посетив URL вымогателей, должна указать ID из записки и свой контактный email для получения письма от вымогателей. 


Короткое сообщение на сайте:
Your company's files have been encrypted!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe  delete shadows /all /quiet
bcdedit  /set {current} bootstatuspolicy ignoreallfailures
bcdedit  /set {current} recoveryenabled no

По завершении шифрования самоудаляется. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.




Список исключений:
.386, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .dll, .drv, .exe, .hlp, .hta, .ico, .key, .ldf, .lnk, .msc, .msi, .msp, .nls, .ocx, .prf, .scr, .shs, .spl, .sys, .wpx  

Файлы, связанные с этим Ransomware:
How to decrypt files.txt - название файла с требованием выкупа;
local.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\open\command rundll32.exe
Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\open\command\ = "%SystemRoot%\\system32\\NOTEPAD.EXE %1" rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_Classes\Local Settings rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\MuiCache rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\.tohnichi rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\edit\command rundll32.exe
Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\.tohnichi\ = "tohnichi_auto_file" rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\edit rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_Classes\Local Settings rundll32.exe
Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\ rundll32.exe
Set value (str) \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\edit\command\ = "%SystemRoot%\\system32\\NOTEPAD.EXE %1" rundll32.exe
Key created \REGISTRY\USER\S-1-5-21-2513283230-931923277-594887482-1000_CLASSES\tohnichi_auto_file\shell\open rundll32.exe
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://eghv5cpdsmuj5e6tpyjk5icgq642hqubildf6yrfnqlq3rmsqk2zanid.onion/contact
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 9 июня 2021 г.

Ryuk.Net, Chaos

Ryuk.Net Ransomware

Ryuk .Net Ransomware Builder v1.0

Chaos Ransomware Builder v2.0

(шифровальщик-вымогатель, деструктор, крипто-строитель) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $1500 в BTC, чтобы вернуть файлы. На самом деле он повреждает файлы с помощью Base64, чтобы они казались зашифрованными. Оригинальное название: Ryuk .Net Ransomware Builder v1.0. На распространяемом файле 1-й версии написано: Ryuk .Net Ransomware Builder.exe. 
---
✋ Вредоносная программа по коду и платежной информация не соответствует никаким реальным операциям Ryuk Ransomwareизвестного с 2018 года. Это отдельный проект, который пока находится в разработке. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34010
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Kaspersky -> HEUR:Constructor.MSIL.Agent.gen
Malwarebytes -> Ransom.Builder
Microsoft -> Trojan:Win32/Ymacco.AA0D
Symantec -> Trojan Horse
TrendMicro -> TROJ_FRS.VSNTF921
---

© Генеалогия: ✂ Ryuk (взято название) >> Ryuk.Net

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted или .encrypt

Желающий создать свою программу-вымогатель может в настройках криптостроителя поменять расширение на любое другое. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале июня 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа написана на изображении, которое предлагается открыть по ссылке xxxxs://i.ibb.co/DDKCCQW/Screenshot-2.png: 


Содержание информационной записки:
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.
The price for the software is $1,500. Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin.
Many of our customers have reported these sites to be fast and reliable:
Coinmama - hxxps://www. coinmama.com 
Bitpanda - hxxps://www.bitpanda.com
Payment information
Amount: 0.1473766 BTC
Bitcoin Address: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg

Перевод 
информационной записки на русский язык:
Все ваши файлы зашифрованы
Ваш компьютер заражен вирусом-вымогателем. Ваши файлы зашифрованы и вы не сможете их расшифровать без нашей помощи.
Что я могу сделать, чтобы вернуть свои файлы?
Вы можете купить нашу специальную программу для дешифрования, эта программа позволит вам восстановить все ваши данные и удалить ransomware с вашего компьютера.
Стоимость программы - $1500. Оплатe можно делать только в биткойнах.
Как мне заплатить, где мне взять биткойн?
Покупка биткойнов варьируется от страны к стране, лучше всего выполнить быстрый поиск в Google, чтобы узнать, как купить биткойн.
Многие из наших клиентов отметили, что эти сайты работают быстро и надежно:
Coinmama - hxxps://www. coinmama.com
Битпанда - hxxps://www.bitpanda.com
Платежная информация
Сумма: 0.1473766 BTC
Биткойн-адрес: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg


Кроме того, есть также текстовая записка READ_ME_NOW.txt

Содержание записки о выкупе: 
Attention! All the files are encrypted!
To restore the files, write to the mail : bomboms123@mail.ru
If you do not receive a response from this mail within 24 hour
then write to the subsidiary:yourfood20@mail.ru
---
012CDC701509734485

Перевод записки:
Внимание! Все файлы зашифрованы!
Для возврата файлов пишите на почту: bomboms123@mail.ru
Если вы не получите ответ на это письмо в течение 24 часов
то пишите на дополнительную: yourfood20@mail.ru
---
012CDC701509734485


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Ryuk.Net вместо шифрования выполняет кодирование в Base64, имитируя "зашифрованную структуру" файла. Спасибо Marco Ramilli за сравнительное исследование


Список типов файлов, подвергающихся структурному повреждению:
.7z, .7-zip, .accdb, .ace, .apk, .arj, .asp, .aspx, .avi, .backup, .bak, .bay, .bmp, .bz2, .cab, .cer, .contact, .core, .cpp, .crt, .cs, .css, .csv, .dat, .db, .dll, .doc, .docx, .dwg, .exif, .flv, .gzip, .htm, .html, .ibank, .ico, .ini, .iso, .jar, .java, .jpe, .jpeg, .jpg, .js, .lnk, .lzh, .m4a, .mdb, .mkv, .mov, .mp3, .mp3, .mp3, .mp4, .mpeg, .mpg, .odt, .p7c, .pas, .pdb, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rb, .rtf, .settings, .sie, .sql, .sum, .tar, .txt, .wallet, .wma, .wmv, .xls, .xlsb, .xlsm, .xlsx, .xml, .xz, .zip (86 типов файлов). 

Может перезаписать все файлы на компьютере. Об этом предупреждается в файле README.md на сайте проекта. 


Содержание текста: 
# ryuk-ransomware 
TRY ON VM ONLY. Ryuk .Net Ransomware overwrites all files on the computer (It means nobody can ever return files back) and makes it at least 2
times faster than other ransomwares. It drops read_it.txt for startup folder and all folders which files has been encrypted. 
This project depends on your donation. Please donete if you want to see next releases in the future
(https://i.ibb.co/DDKCCQW/Screenshot-2.png
Donation
Bitcoin: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
Monero: 44wJKzwrzWY7dxLov4EjVia3wmwaj6ige6a8C6eHKXKtVy8PTU3SnCG6A6do3vL4Cu3kLUedKwjomDKe754QhshVJw52xFV

Возможно, функция шифрования будет реализована в более новой версии Ryuk .Net Ransomware. В любом случае среди перезаписанных или зашифрованных скорее всего будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., которые являются наиболее ценными для пользователей ПК. 

Файлы, связанные с этим Ransomware:
READ_ME_NOW.txt - текстовый файл записки; 
read_it.txt - другой текстовый файл записки; 
README.md - название файла с предупреждением об использовании только на вируальных машинах; 
svchost.exe - выходной исполняемый файл; 
Ryuk .Net Ransomware Builder.pdb - название файла проекта; 
Ryuk .Net Ransomware Builder.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
c:\Users\User\Desktop\builder\CustomWindowsForm\obj\Debug\Ryuk .Net Ransomware Builder.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Ссылка на картинку: xxxxs://i.ibb.co/DDKCCQW/Screenshot-2.png
Email: bomboms123@mail.ru, yourfood20@mail.ru
BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
XMR: 44wJKzwrzWY7dxLov4EjVia3wmwaj6ige6a8C6eHKXKtVy8PTU3SnCG6A6do3vL4Cu3kLUedKwjomDKe754QhshVJw52xFV
GitHub: xxxxs://github.com/Hetropo/ryuk-ransomware
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Ryuk .Net Ransomware Builder v1.0 - начало июня 2021
Chaos Ransomware Builder v2.0 - середина июня 2021



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 15 июня 2021: 
Самоназвание: Chaos Ransomware Builder v2.0
Записка: read_it.txt
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
Результаты анализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.ClipBankerNET.7
BitDefender -> Generic.Ransom.HydraCrypt.F940D4B4
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGP
Kaspersky -> HEUR:Trojan.MSIL.Fsysna.gen
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_RAMSIL.SM







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 Added later: Write-up (Comparison and analysis of Ryuk and Ryuk.Net)
 Thanks: 
 Security Joes, Vitali Kremez, Marco Ramilli
 Andrew Ivanov (article author)
 GrujaRS, 3xp0rt, 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 8 июня 2021 г.

HimalayA

HimalayA Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
ALYac -> 
Avira (no cloud) -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 

---

© Генеалогия: предыдущие разработки >> HimalayA

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя не наблюдалась. Сообщение появилось на форуме Даркнета в начале июня 2021 г. Предоставляется как RaaS с запретом проведения атак на компьютерные системы в области здравоохранение и некоммерческие организации. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 




Содержание сообщения:
Ransomware as a Service - HimalayA
We offer ransomware for free!
We take a commission of 30% of all ransoms paid
We send the part of your ransom maximum 24 hours after confirmation of the transaction
We manage communication with victims
VERY IMPORTANT WARNING :
PROHIBITION OF ATTACKING HEALTH FACILITIES
PROHIBITION OF ATTACKING ANY PUBLIC ORGANIZATION OR NON-PROFIT ASSOCIATION
ONLY ATTACK PRIVATE COMPANIES OR INDIVIDUALS
Already configured and compiled FUD Ransomware.
AES 256 Encryption
x86 / x64 for Windows
Files types HimalayA encrypt :( by default )
'.txt', '.ppt', '.pptx', '.doc', '.docx', '.gif', '.jpg', '.png', '.ico', '.mp3', '.ogg', '.csv', '.xls', '.exe', '.pdf', '.ods', '.odt', '.kdbx', '.kdb', '.mp4', '.flv', '.jpeg', '.zip', '.tar', '.tar.gz', '.rar',
You can change by specifying your request when ordering
Directory HimalayA encrypt : ( by default )
'Downloads', 'Documents', 'Pictures', 'Music', 'Desktop', 'Onedrive',
You can change by specifying your request when ordering
ORDER
Send us an email specifying :
- The amount in btc/xmr of the ransom requested
- A btc/xmr address for the payment of your share of the ransoms
- Options files types encrypt
- Option directorys encrypt
himalayaraas@dnmx.org

Перевод сообщения на русский язык:
Программа-вымогатель как услуга - HimalayA
Мы предлагаем программы-вымогатели бесплатно!
Мы берем комиссию в размере 30% от всех уплаченных выкупов.
Мы отправляем часть вашего выкупа максимум через 24 часа после подтверждения транзакции.
Управляем общением с жертвами
ОЧЕНЬ ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ:
ЗАПРЕТ НА АТАКУ МЕДИЦИНСКИХ УЧРЕЖДЕНИЙ
ЗАПРЕТ НА АТАКУ ОБЩЕСТВЕННЫХ ОРГАНИАЗАЦИЙ ИЛИ НЕКОММЕРЧЕСКИХ АССОЦИАЦИЙ
РАЗРЕШЕНЫ АТАКИ ТОЛЬКО НА ЧАСТНЫЕ КОМПАНИИ ИЛИ ЛИЦА
Уже настроено и скомпилировано FUD Ransomware.
Шифрование AES 256
x86 / x64 для Windows
Типы шифруемых HimalayA файлов : (по умолчанию)
'.txt', '.ppt', '.pptx', '.doc', '.docx', '.gif', '.jpg', '.png', '.ico', '.mp3', '.ogg', '.csv', '.xls', '.exe', '.pdf', '.ods', '.odt', '.kdbx', '.kdb', '.mp4', '.flv', '.jpeg', '.zip', '.tar', '.tar.gz', '.rar',
Вы можете изменить, указав свой запрос при заказе
Шифруемые HimalayA каталоги: (по умолчанию)
"Загрузки", "Документы", "Изображения", "Музыка", "Рабочий стол", "Onedrive",
Вы можете изменить, указав свой запрос при заказе
ЗАКАЗ
Отправьте нам email с уточнением:
- Суммы запрошенного выкупа в btc/xmr 
- Адреса btc/xmr для выплаты вашей доли выкупа 
- Параметров шифруемых типов файлов 
- Возможности шифрования каталогов 
himalayaraas@dnmx.org


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию по умолчанию:
.csv, .doc, .docx, .exe, .flv, .gif, .ico, .jpeg, .jpg, .kdb, .kdbx, .mp3, .mp4, .ods, .odt, .ogg, .pdf, .png, .ppt, .pptx, .rar, .tar, .tar.gz, .txt, .xls, .zip (26 типов файлов). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Директории, в которых файлы шифруются по умолчанию:
Downloads, Documents, Pictures, Music, Desktop, Onedrive. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: ohu6eschnuhxfg46wvco7j3e76oqymo4cowfepbi7h6z3vf6if6lj5yd.onion
Email: himalayaraas@dnmx.org
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 RAKESH KRISHNAN
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *