Если вы не видите здесь изображений, то используйте VPN.

четверг, 29 марта 2018 г.

CryptoMix-MOLE66

CryptoMix-MOLE66 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: alpha.exe.

© Генеалогия: CryptoMix >> CryptoMix-Revenge > CryptoMix-MOLE66 

К зашифрованным файлам добавляется расширение .MOLE66

Примеры зашифрованных файлов:
0B1A47E6049EE13363E17B2E07DFC223.MOLE66
0BE8F0E8365E948B73238DF8399D73DF.MOLE66
1EAEAD6426B4E36E2513E0342A7DBDDA.MOLE66

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: _HELP_INSTRUCTIONS_.TXT

Содержание записки о выкупе:
!!!All your files are encrypted!!!
What to decipher write on mail alpha2018a@aol.com
Do not move or delete files!!!!
---- Your ID: 5338f74a-3c20-****-****-f3a91818cea7 ----
!!! You have 3 days otherwise you will lose all your data.!!!

Перевод записки на русский язык:
!!!Все ваши файлы зашифрованы!!!
Для расшифровки пишите на email alpha2018a@aol.com
Не перемещайте и не удаляйте файлы!!!!
---- Ваш ID: 5338f74a-3c20-****-****-f3a91818cea7 ----
!!! У вас есть 3 дня, иначе потеряете все свои данные. !!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Переде шифрованием проверяет кодировку и, найдя русскую, завершает работу. 

➤ Останавливает службу VSS, удаляет теневые копии файлов,  отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
C:\WINDOWS\system32\cmd.exe" /C sc stop VVS"
C:\WINDOWS\system32\cmd.exe" /C  sc stop wscsvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WinDefend
C:\WINDOWS\system32\cmd.exe" /C  sc stop wuauserv
C:\WINDOWS\system32\cmd.exe" /C  sc stop BITS
C:\WINDOWS\system32\cmd.exe" /C  sc stop ERSvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WerSvc
C:\WINDOWS\system32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} recoveryenabled No"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures"

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTIONS_.TXT
BC2D64A077.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
%AppData%\BC2D64A077.exe
C:\ProgramData\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
alpha2018a@aol.com
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.
*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoMix Revenge)
 Write-up, Topic of Support
 *
Внимание: 
Можно расшифровать файлы после этого вымогателя. 
Скачать дешифровщик можно с сайта NMR по ссылке >>
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *