MindLost

MindLost Ransomware

Aliases: DeeRansomware, Paggalangrypt

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200$ через кредитную / дебетовую карту, чтобы вернуть файлы. Оригинальное название: MindLost и Encryptor. На файле написано: Encryptor.exe и DeeRansomware.exe.

Обнаружения:  
DrWeb -> Trojan.Encoder.24412
BitDefender -> Trojan.Autoruns.GenericKD.41891924
ALYac -> Trojan.Ransom.MindLost
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LL
Kaspersky -> Trojan.Win32.Agent.qwfqbk
Microsoft -> Ransom:MSIL/Paggalangrypt.A!rsm
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_MINDLOST.CNO

© Генеалогия: семейство Paggalangrypt > MindLost

К зашифрованным файлам добавляется расширение .enc

Обнаружение этого крипто-вымогателя пришлось на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает изображение, загружаемое через онлайн-сервис imgbb.com

Содержание текста иски о выкупе:
Don't Lose Your Mind But All Of Files Have Been Encrypted
Now it's not too late, you can still get them back and go back to your life. All you have to do is go to xxxx://mindlost.azurewebsites.net and pay 200$ and all of yor files will be available to you again. 
When paying (and you will) enter your computer"s ID. You can find your computer"s ID in a file called ID.txt in your Desktop filder. Afterwards enter your credit card information to complete the payment. 
Now you can also purchase an insurance for an extra 50$. This means you will never be attacked by us again. This is strongly advised unless you want to go through all this again. 
When you finish paying just go to your Desktop folder, run Decrypter.exe and all of your files will be safety decrypted and available to you again. 
Q: What does it mean that all of my files have been encrypted?
A: All of your files are safe and can be restired. They are simply not accessible to you unless you have the key to decrypt them which we will only provide if you pay us. Also don"t bother trying to break the encryption it's not possible. 
For more information you can go to xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard or at xxxx://mindlost.azurewebsites.net

Перевод текста на русский язык:
Не теряйте разум, но все файлы зашифрованы
Еще не поздно, вы всё равно можете вернуть их и вернуться к своей жизни. Всего лишь нужно перейти на xxxx://mindlost.azurewebsites.net и заплатить 200$, и все ваши файлы вернутся к вам.
При оплате (и вы захотите) введите свой ID компьютера. Найти ID вашего компьютера можно в файле ID.txt на вашем рабочем столе. Затем введите данные своей кредитной карты для завершения платежа.
Сейчас вы можете также приобрести страховку за еще 50 $. Это значит, что вы больше никогда не будете атакованы нами. Это очень рекомендуется, если не хотите повторить все это снова.
Когда вы заплатите, просто перейдите на Рабочий стол, запустите Decrypter.exe и все ваши файлы дешифруются и будут доступны для вас.
Вопрос: Что значит, что все мои файлы были зашифрованы?
Ответ: Все ваши файлы в безопасности и могут быть восстановлены. Они просто недоступны вам, если у вас нет ключа для их расшифровки, который мы дадим вам, когда заплатите нам. И не пытайтесь сломать шифрование, это невозможно.
Для информации можете перейти на xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard или xxxx://mindlost.azurewebsites.net

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ MindLost прописывается в Автозагрузку системы, чтобы работать и после перезагрузки ПК. 

➤ MindLost шифрует файлы и перенаправляет пользователей на сайт MindLost, чтобы заплатить выкуп через кредитную / дебетовую карту.

➤ MindLost использует онлайн-сервис xxxx://imgbb.com/ для бесплатной загрузки изображений с требованиями выкупа.

Список файловых расширений, подвергающихся шифрованию:
.c, .jpg, .mp3, .mp4, .pdf, .png, .py, .txt
Это документы PDF, фотографии, музыка, видео и пр.

Шифровальщик пропускает файлы в следующих директориях:
Windows
Program Files
Program Files (x86)

Файлы, связанные с этим Ransomware:
Encryptor.exe
Decrypter.exe
ID.txt
wallpaper.bmp
<random>.exe
3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Users\Johnson\AppData\Local\Temp\3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe

Записи реестра, связанные с этим Ransomware:
HKU\S-1-5-21-3712457824-2419000099-45725732-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN   "WindowsEnc"
См. ниже результаты анализов.

Мьютекс:
Global\CLR_PerfMon_WrapMutex

Сетевые подключения и связи:
xxxx://mindlost.azurewebsites.net
xxxx://imgbb.com/
xxxx://image.ibb.co/kO6xZ6/insane_uriel_by_urielstock_1.jpg - с любой цифрой
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>  VT>>
Intezer анализ >>  IA>>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, BleepingComputer
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.