AnimusLocker Ransomware
Animus Locker Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью XTEA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Animus Locker. На файле написано: Ransom.exe.
© Генеалогия: Aurora + Generic Malware > AnimusLocker
К зашифрованным файлам добавляется расширение: .animus
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину - конец июня 2018 г. (штамп времени на файле: 19-Jun-2018 13:01:33). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Они аналогичны по содержанию.
Содержание записки о выкупе:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit),
We strongly RECOMMEND you not to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price,
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
j0ra@protonmail.com
########
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
Without it we will not be able to decrypt your files
########
And pay 100$ on 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH wallet
If someone else offers you files restoring, ask him for test decryption,
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
Перевод записки на русский язык:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
ПРОСТИ! Ваши файлы зашифрованы.
Содержимое файла зашифровывается случайным ключом.
Случайный ключ зашифровывается открытым ключом RSA (2048 бит),
Мы очень рекомендуем вам не использовать "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене,
Если вы хотите расшифровать свои файлы, вы должны получить закрытый ключ RSA.
Чтобы получить секретный ключ, напишите сюда:
j0ra@protonmail.com
########
!ВНИМАНИЕ!
Прикрепите файл 000000000.key из %appdata% к email-сообщению,
Без него мы не сможем расшифровать ваши файлы
########
И заплатите 100$ на 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH кошелек
Если кто-то еще предлагает вам восстановление файлов, запросите у него тест расшифровку,
Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
.db, .doc, .docx, .js, .jpg, .png, .xls, .xlsx,
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Ransom.exe
<random>.exe - случайное название
000000000.key
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Roaming\000000000.key
Записи реестра, связанные с этим Ransomware:
HKEY_USERS\\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\MSFEEditor
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: j0ra@protonmail.com
BTC: 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Aurora Ransomware - май 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018
Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018
Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 20 июля 2018:
Пост в Твиттере >>
Статус: Файлы можно расшифровать!
Самоназвание: desu ransomware
Расширение: .desu
Записки: @_DECRYPT_@.txt, @_DECRYPT2_@.txt, @_DECRYPT3_@.txt
Сумма выкупа: $200
Email: j0ra@protonmail.com
BTC: 1ARDXRQsvnsYiM5jZczFagtCrAzSFC1Qmy
Результаты анализов: VT
Обновление от 30 тюля 2018:
Расширение: .desuФайлы переменовываются в HEX.
Файлы записок: ©_RESTORE_PC_1.txt, ©_REST0RE_PC_2.txt, ©_REST0RE_PC_3.txt
Email-1: UnlockAlexKingman@protonmail.com
Email-2: hellstaff@india.com
Статус: файлы можно дешифровать.
Файл: BadRansomware.exe и варианты
Результаты анализов: VT + VT + VMRay
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Скачайте дешифровщик по этой ссылке >> Это общий дешифровщик для Aurora, AnimusLocker, ONI. *** * *
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID under Aurora) Write-up, Topic of Support 🎥 Video review >>
- Видеообзор от CyberSecurity GrujaRS
Thanks: Karsten Hahn, Michael Gillespie Andrew Ivanov, GrujaRS *
© Amigo-A (Andrew Ivanov): All blog articles.
