RedFox Ransomware
(шифровальщик-вымогатель, RaaS, деструктор)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма BlowFish (уникальный ключ для каждого файла) + RSA-2048 (для шифрования ключей), а затем требует выкуп в 0.1 BTC или больше, чтобы вернуть файлы. Оригинальное название: RedFox и RedFox Ransomware. Разработчик: некая группа SigmaTeam.
© Генеалогия: выясняется.
Логитип шифровальщика
К зашифрованным файлам добавляется настраиваемое расширение.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Первый образец этого крипто-вымогателя как RaaS был представлен 14 декабря 2017. Данных об активности нет. На середину июня 2018 г. он ещё находился на официальном сайте и форумах андеграунда. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: настраиваемая опция.
Запиской с требованием выкупа выступает экран блокировки с таймером обратного отсчета, количеством удаленных файлов.
Скриншоты со страницы официального сайта.
Содержание текста об RedFox:
RedFox is the most advanced and customisable ransomware you've ever seen. It is one of the best money making scheme out here. RedFox uses BlowFish encryption to encrypt all available files on the victim's hard disk and shared drives except .exe, .dll, .sys, other system files. During encryption RedFox will generate unique BlowFish key for each file and then encrypt the keys further with RSA-2048 encryption and will send victim's system information back to the command-and-control center. The Command-and-control center allows you to set the ramsomware warning time duration, ransom amount, ransom message, payment mode and also allow decrypting the files on the victim system after payment is received. The victim's computer is not completely blocked as some other ransomwares, it just opens a popup allowing the victim to access their browser to buy Bitcoins and sent to the address indicated. RedFox is a cheap and easy to manage ransomware developed by SigmaTeam. It's meant to be really easy to use. You can also use binders, packers and crypters. RedFox can communicate with command-and-control center over Tor. RedFox is editable and you can change your own amount and bitcoin address. You can manage your victims through the command-and-control center window using filters, creating groups and also generate PDF reports with relevant statistics, charts and maps.
RedFox will also add a startup key on the Windows registry and then show a GUI telling the user that the files were encrypted and giving your email address so the user can get in touch. Every 2 hours, a random file is permanently deleted, to hurry up the victim. A countdown to the next delete, as well as the last file deleted and a count of how many files were deleted so far will be shown to the victim. Time limit will ends in 96 hours and the user will not be able to get the files back anymore. You can also enable or disable the countdown timer and set how much time you want to delete random files as well as how many files are deleted on every interval, to hasten the victim to pay the ransom faster.
The coolest RedFox feature is that, instead of paying huge servers costs monthly, we present you the "Bridges". Bridges are the way victims and attacker enters in touch in a distributed network. Bridges store the clients keys, verify payments and provide the victims informations to the command-and-control center safely. And they can be hosted on nearly any server, even hacked servers, shared hosting, dedicated or VPS. As the bitcoin payment verification is done on the server side, by the bridge, there is no way to spoof it on the victim machine. Also, the randomly-generated decryption keys for each victim are also kept on the bridges and there is no way of recovering it without paying. The distributed Bridges network will grant you a better anonymity.
You can spread RedFox through popup offers like free music, movies, plugins, lotteries, fake anti-virus software and email spamming. With RedFox you will also have the option to have it USB auto installable with time frame. Meaning, you can install it on a portable USB and it will automatically boot and start encrypting files after a give time frame.
RedFox is fully autonomous with autodetected Bitcoin payments. Just spread and wait for the money to come. By buying RedFox, you'll receive an all-in-one kit that will allow you to make unlimited builds. You will get the full source code of the RedFox and PDF guides on how to use it. Your only concern will be where to go next holiday.
—————————————————————————————————————
Features
• Autodetected Bitcoin Payments
• Auto Spread
• Change Process Name
• Change Ransom Amount
• Command-and-control Center
• Countdown Timer
• Delete All Restore Points
• Detects VM, Sandbox And Debugger Environments
• Disable Regedit
• Disable Safe Boot
• Disable Shutdown
• Disable Task Manager
• Edit File Icon
• Empty Recycle Bin
• Enable USB Infection
• Files On External Media Also Encrypted
• Full Lifetime License
• Fully Undetectable
• Generate PDF Reports
• GEO Map
• Hide RedFox Files
• Master Boot Record Exploit
• Military Grade Encryption
• Multi Language
• No Dependency
• Payment Page Link
• Quick File Encryption
• Real Time Ticket Support System For Victims
• Secure File Erase
• Statistics
• Text To Speech
• UAC Exploit
• Unlimited Builds
• Weekly Updates
—————————————————————————————————————
If you have any questions you may ask us on sigmateam@gmx.com.
We hope you consider buying RedFox at its impressive price point for its functionality.
—————————————————————————————————————
[Buy Now]
Copyright © SigmaTeam. All Rights Reserved
Перевод на русский:
Полный перевод делать не буду, чтобы не рекламировать услуги вымогателей. Ниже в разделе "Технические детали" есть описание деструктивных функций, приносящих вред пользовательским данным.
Продажа RaaS партнёрам вымогателей
Чтобы желающие распространять этот шифровальщик-вымогатель могли им воспользоваться, они должны сначала заплатить за него в одной из предлагаемых криптовалют на сайте satoshibox.com. Затем они смогут скачать архив RedFox.zip.
Технические детали
Распространяется с официального сайта и форумов кибер-андеграунда.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ На зараженном компьютере демонстрируется экран блокировки, который не полностью блокирует компьютер и позволяет жертве открыть браузер и оплатить выкуп. Добавляется в автозагрузку системы, что при включении ПК показывать свой экран. Каждые 2 часа навсегда удаляется случайный файл, чтобы поторопить жертву сделать платёж. Пострадавшему показывается таймер обратного отсчёта до следующего удаления файла, а также последний удалённый файл и количество файлов, которые уже были удалены.
Список некоторых деструктивных функций:
• Удаляет файлы через каждые 2 часа
• Удаляет все точки восстановления
• Предоставляет жертве всего 96 часов для оплаты выкупа
• Через 96 часов без оплаты файлы уже не вернуть
• Обнаруживает среды VM, Sandbox и отладчиков
• Отключает редактор реестра
• Отключает безопасную загрузку Windows
• Отключает завершение работы Windows
• Отключает диспетчер задач
• Изменяет значки файлов
• Включает USB-инфекцию
• Шифрует файлы на внешних носителях
• Скрывает файлы RedFox
• Может писать в MBR
• Использует обход UAC
➤ Вместо ежемесячной оплаты за сервер используются "Bridges" ("Мосты"). Посредством этих "Мостов" жертвы и злоумышленники входят в контакт в распределенной сети. Мосты хранят ключи клиентов, проверяют платежи и предоставляют информацию о жертвах в центр безопасности и управления.
Список файловых расширений, подвергающихся шифрованию:
Все доступные на дисках файлы, кроме списка исключений. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускаются файлы: .exe, .dll, .sys и другие системные файлы.
Файлы, связанные с этим Ransomware:
RedFox.exe
RedFox.zip
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxs://sigmateam.neocities.org/ - официальный сайт проекта RedFox RaaS
URL: satoshibox.com - сайт-посредник
URL: xxxxs://satoshibox.com/ig3y7xso5xt3dj4ocfwjtbzc - платная загрузка файла
Emal: sigmateam@gmx.com - email разработчиков RedFox RaaS
BTC: 3EH21Re6KXbAShJYMfcFEQPkbuVjfcbX52
ETN: 0x9e1bf3314eb48cee0e6bab0b9c209d752e3ca8fe
LTC: LMg2XLMzg5PjYkiykFFTAYAAWNWCFFZBFF
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: нет данных.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (n/a) Write-up, Topic of Support *
Thanks: MusNeo Ransomware Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
