понедельник, 26 марта 2018 г.

Sorry HT

Sorry HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Sorry HT Ransomware

К зашифрованным файлам добавляется расширение .sorry

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: How Recovery Files.txt и hrf.txt и hrf.txt

Содержание записки о выкупе:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - systems@hitler.rocks or systems@tutanota.com
and tell us your unique ID - ID_FURAT75WBU

Перевод записки на русский язык:
Привет, дорогой друг!
Все ваши файлы были ЗАШИФРОВАНЫ
Вы точно хотите восстановить ваши файлы?
Пишите на наш email - systems@hitler.rocks или systems@tutanota.com.
и сообщите нам свой уникальный ID - ID_FURAT75WBU

Другой пример ID:
ID_SNAQHT0AZD

Текст составлен так, как он есть в некоторых февральских вариантах Rapid Ransomware




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How Recovery Files.txt
hrf.txt
ConsoleApp1.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: systems@tutanota.com
Email-2: systems@hitler.rocks
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 7 апреля 2018:
Расширение: .sorry
Email: jojolly@cock.li
riga55@tutanota.com
Результаты анализов: HA + VT


Обновление от 10 апреля 2018:
Пост в Твиттере >>
Расширение: .sorry
Email: svchostport@tutanota.com, cjhost@tuta.io
Записка: hrf.txt
Расположения записки:
C:\Windows\hrf.txt
C:\Users\admin\AppData\Local\VirtualStore\Windows\hrf.txt
Содержание записки: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - svchostport@tutanota.com or cjhost@tuta.io
and tell us your unique ID - ID_1Y47ZXY67Q
Файл: ConsoleApp1.exe
Название задачи: JohnCena
Результаты анализов: VT + AR




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton