OPdailyaallowance

OPdailyallowance Ransomware

OPdailyaallowance Ransomware

Jester Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: Documents. На файле написано: Documents.exe и Adobe Player.

© Генеалогия: HiddenTear >> FSociety > OPdailyallowance

Изображение, использованное вымогателями

К зашифрованным файлам добавляется расширение: .CRYPTR


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
INTRUCTION.html
PAYMENT !!!.txt
ATTANTION!!!.txt

Содержание записки INTRUCTION.html:
WHAT HAPPEND ?
Can't find the files that you need
Is the content of your files that you need, unreadable?
This is normal because the data within your files has been encrypted.
***далее плохо читаемый текст***

Перевод записки на русский язык:
ЧТО ПРОИСХОДИТ ?
Не удается найти файлы, которые вам нужны
Является ли содержимое ваших нужных файлов нечитаемым?
Это нормально, потому что данные в ваших файлах были зашифрованы.
***далее плохо читаемый текст***

Содержание записки PAYMENT !!!.txt: 
GET THE KEY DECRYPT FILE, YOU HAVE TO PAY 0,3 BTC TO ADDRESS : 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu

Содержание записки ATTANTION!!!.txt:
##### ATTANTION!!!.txt
##### YOUR PRIVATE KEY EXPIRED 3 DAYS IF IT EXCEEDS 3 DAYS WE CAN NOT HELP YOU TO DECRYPT YOUR FILE 
##### PLEASE DON'T TURN OFF YOUR PC AND DON'T RENAME EXTENSION, IT WILL FILE YOUR CORRUPTION
##### GET THE KEY TO DECRYPT FILE, YOU HAVE PAY 0,3 BTC TO ADDRESS 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
##### IF YOU SEND EMAIL AND NO REPLY FROM US MORE THAN 2 DAYS PLEASE RESEND YOUR EMAIL
#####


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 

Содержание текста с изображения: 
#OPdailyaallowance
Oops.. Your Important files are encrypted
Please do not panic, the file will be back to normal if you buy a private key to us
To get the key decrypt files, you have to paid Us 0,3 BTC
Contact Us by email : BM-2cVQmNzy6ZLBWCD4fVYWsccBSAik2jEUuy@bitmessage.ch

Перевод на русский язык:
#OPdailyaallowance
Упс.. Ваши важные файлы зашифрованы
Пожалуйста, не паникуйте, файл вернется в норму, если вы купите у нас закрытый ключ
Чтобы получить ключ дешифровки, вы должны заплатить нам 0,3 BTC
Контакт с нами по email : BM-2cVQmNzy6ZLBWCD4fVYWsccBSAik2jEUuy@bitmessage.ch

*| Фраза #OPdailyallowance из телесериала Mr.Robot. Только в записке используется удвоенное "aa", вероятно по ошибке. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений (Adobe Player и др.), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INTRUCTION.html - файл записки с требованием выкупа; 
PAYMENT !!!.txt - файл записки с требованием выкупа; 
ATTANTION!!!.txt  - файл записки с требованием выкупа; 

Documents.exe - название вредоносного файла; 
<random>.exe - случайное название вредоносного файла;  

Documents.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Windows\00001200000001010111\111111111111111100000000000\010101010101010\605e0r2feefej003433\504c45415345444f4e4f5452454d4f56454954\0111011\obj\Release\Documents.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Временный сайт: hxxxs://fuxcrypt0r.000webhostapp.com/access/access.php

Картинка: hxxxs://i.imgur.com/0i1ZFth.jpg

Email: BM-2cVQmNzy6ZLBWCD4fVYWSCCBSAik2jEUuy@bitmessage.ch
BTC: 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 августа 2019:
Пост в Твиттере >>
Называет себя OPdailyaallowance и Jester. 
Пытается скрестить CryptoWall и FSociety, но в итоге даже не шифрует файлы.  
Указанная в записке сумма выкупе: 5,9 миллионов долларов. 
Записки: HELP_YOUR_FILES.TXT, Cryptowall.htm

Другие файлы: 
flag.png
jester.png
styles.css
getip.bat
fullscreen.vbs
CryptoWall.bmp
Результаты анализов: VT

Вариант от 5 августа 2021: 

Сообщение >>

Записка: jester.html

Также использует экран блокировки (на скриншоте). 

Результаты анализов: VT

Обнаружения: 

DrWeb -> Trojan.Encoder.34225

BitDefender -> Gen:Heur.MSIL.Krypt.43

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AHF

Kaspersky -> HEUR:Trojan.MSIL.Shelpak.gen

Rising -> Trojan.AntiVM!1.CF63 (CLASSIC)

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (article athor)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.