GarrantyDecrypt

GarrantyDecrypt Ransomware

GarrantyDecrypt NextGen Ransomware

Variants: DecryptGarranty, Protected, NOSTRO, Odin, Cosanostra, Cammora, Metan, Spyhunter, Tater, Zorin, Bigbosshorse, Heronpiston, Horsedeal, Azor, Razor

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: что попало.

Обнаружения:
DrWeb -> Trojan.Encoder.26484, Trojan.Encoder.26800, Trojan.DownLoader25.47109
BitDefender -> Generic.Ransom.GarrantDecrypt.*, DeepScan:Generic.Ransom.GarrantDecrypt.B.*, Gen:Variant.Ulise.32528
ALYac -> Trojan.Ransom.GarrantyDecrypt
Malwarebytes -> Ransom.XARCryptor

© Генеалогия: Rapid? >> GarrantyDecrypt > Outsider, BigBossHorse, Horsedeal и другие

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .garrantydecrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. В некоторых случаях есть отдельная статья.

Более того, некоторые варианты по ряду признаков я выделил в отдельную статью Outsider (GarrantyDecrypt-Outsider). Но все они теперь идентифицируются в IDR под GarrantyDecrypt. Сначала было две идентификации: GarrantyDecrypt и Outsider, а потом они были объединены. Но всё-таки там есть различия, потому мы будем придерживаться двух статей.

Активность этого крипто-вымогателя пришлась на начало октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #RECOVERY_FILES#.txt

Содержание записки о выкупе:
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - garrantydecrypt@airmail.cc
and tell us your unique ID
1e4vDCmU44pC5lkk4DcnhJsEEhg+Djipct***

Перевод записки на русский язык:
Все ваши файлы были ЗАШИФРОВАНЫ
Вы действительно хотите восстановить свои файлы?
Напишите на наш email - garrantydecrypt@airmail.cc
и сообщите нам свой уникальный ID

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Не должен шифровать ПК пользователей из следующих стран: Россия, Казахстан, Беларусь, Украина. Но накладки при шифровании возможны. 

➤ UAC не обходит, требуется разрешение на запуск. 

➤ Завершает работу следующих процессов:
sqlwriter.exe, sqlbrowser.exe, sqlservr.exe, TNSLSNR.EXE, mysqld.exe, MsDtsSrvr.exe, sqlceip.exe, msmdsrv.exe, mpdwsvc.exe, fdlauncher.exe, Launchpad.exe, chrome.exe, oracle.exe, devenv.exe, PerfWatson2.exe, ServiceHub.Host, Node x86.exe, Node.exe, Microsoft VisualStudio, Web Host.exe, Lightshot.exe, netbeans64.exe, spnsrvnt.exe, sntlsrtsrvr.exe, w3wp.exe, TeamViewer_Service.exe, TeamViewer.exe, SecomSDK.exe, schedul2.exe, schedhlp.exe, adm_tray.exe, EXCEL.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE, AnyDesk.exe, MicrosoftSqlServer, IntegrationServices, MasterServiceHost.exe, MicrosoftSqlServer, IntegrationServices, WorkerAgentServiceHost.exe

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол командами:
delete shadows /all /quiet
bcdedit /set {current} bootstatuspolicy ignoreallfailures
bcdedit /set {current} recoveryenabled no
netsh advfirewall set allprofiles state off

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#RECOVERY_FILES#.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: garrantydecrypt@airmail.cc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28-30 ноября 2018:
Пост в Твиттере >>
Пост в Твитере >>
Расширение: .decryptgarranty
Записка: #RECOVERY_FILES#.txt
Email: decryptgaranty@airmail.cc
Результаты анализов: VT 

Вариант от 25 ноября 2018: 

Расширение: .protected

Записка: RESTORE_FILES.txt

Email: secureserver@memeware.net

BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm

Результаты анализов: VT + VMR + IA

См. отдельное описание в статье Outsider Ransomware >>

Обновление от 7 декабря 2018:
Расширение: .protected
Записка: HOW_TO_RESTORE_FILES.txt

Email: secureserver@memeware.net

BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm

См. отдельное описание в статье Outsider Ransomware >>

Обновление от 15 декабря 2018:
Пост в Твиттере >>

Обновление от 28 декабря 2018:
Пост на форуме >>
Расширение: .NOSTRO

=== 2019 ===

Обновление от 9 января 2019:
Пост в Твиттере >>
Расширение: .odin
Email: odin19@protonmail.com
Записка: #RECOVERY_FILES#.txt
Результаты анализов: VT
Штамп времени: 14 декабря 2018. 

➤ Содержание записки: 
All personal files on your computer are encrypted.
We STRONGLY RECOMMEND you NOT to use any decryption tools.
These tools can damage your data, making recover IMPOSSIBLE.
If you really want to restore your files?
Write to our email - odin19@protonmail.com
And tell us your unique ID
TZ2DTOwVsj2Yyu45hUZeR1i***lj5LSI=

Обновление от 30 января 2019:
Пост в Твиттере >>
Расширение: .cosanostra
Записка: #RECOVERY_FILES#.txt

Результаты анализов: VT + VMRay

Обновление от 16 февраля 2019:
Пост в Твиттере >>
Расширение: .cammora
Email: cammora19@protonmail.com
Записка: #RECOVERY_FILES#.txt
➤ Содержание записки: 
All your files have been encrypted!
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address
cammora19@protonmail.com
And tell us your unique ID
[redacted 0x200 bytes in base64]


Обновление от 19 февраля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .protected
Мьютекс: 666_nop_nop_nop_nop
Email: нет, т.к. в запсике, кроме кода base64 ничего нет. 
Записка: HOW_TO_RESTORE_YOUR_FILES.txt
В текстовом файле записки нет требований выкупа, email, BTC и прочих сведений. 
Подтверждение: см. на выделенный на скриншоте стринг "EMPTY".

➤ Содержание записки: 
EMPTY <base64>
Результаты анализов: VT + HA + IA + AR + VMR

Обновление от 20 марта 2019:
Пост в Твиттере >>
Расширение: .metan
Email: metan19@mail2tor.com
Записка: #HOW TO DECRYPT FILES#.txt
➤ Содержание записки: 
!!! ATTENTION, YOUR FILES WERE ENCRYPTED !!!
Please follow few steps below:
1.Send us your ID.
2.Then you'll get payment instruction and after payment you will get your decryption tool!
Only we can decrypt all your data!
Contact us us:
metan19@mail2tor.com
And tell us your unique ID
*** [redacted 0x200 bytes in base64]

Обновление от 9 апреля 2019:
Пост в Твиттере >>
Расширение: .spyhunter
Email: spyhunter5s@aol.com
Записка: $HOWDWCRYPT$.txt

Результаты анализов: VT
В зашифрованных файлах зашифрован только заголовок. Можно успешно использовать программу для восстановления. 

Обновление от 15 апреля 2019 (возможно и раньше):
Топик на форуме >>
Распространение в Китае. 
Расширение: .tater
Записка: #HOW TO DECRYPT#.txt
Email: tater@mail2tor.com

➤ Содержание записки: 
!!!!!!!Your files are encrypted!!!!!!!
Do not try to recover your files on your own or with someone else,because after the intervention you can remain without your data forever.
You have 48 hours to contact us,otherwise you will be left without access to the files forever.
Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service
Only we can decrypt all your data! 
Contact us us:
tater@mail2tor.com
And tell us your unique ID
**********

Обновление от 13 мая 2019:
Пост в Твиттере >>
Расширение: .spyhunter
Записка: $HOWDECRYPT$.txt
Email: spyhunter5s@aol.com
Результаты анализов: VT + VMR

Обновление от 12 августа 2019 (или раньше):
Пост в Твиттере >>
Распространение в Китае. 
Расширение: .zorin
Записка: $READ_ME$.txt
Email: zorin@rape.lol

Обновление от 28 ноября 2019: 
Отдельная статья Horsedeal (BigBossHorse) Ransomware >>
Топик на форуме >>
Расширение: .bigbosshorse
Записка: #Decryption#.txt
Email: bigbosshorse@ctemplar.com
Jabber: bigbosshorse@xmpp.jp

Обновление от 10 декабря 2019:
Отдельная статья Horsedeal (BigBossHorse) Ransomware >>
Топик на форуме >>
Расширение: .heronpiston
Записка: #Decryption#.txt
Email: heronpiston@ctemplar.com
Jabber: heronpiston@xmpp.jp

Обновление от 14 января 2020:
Отдельная статья Horsedeal (BigBossHorse) Ransomware >>
Расширение: .horsedeal
Записка: #Decryption#.txt
ICQ: https://icq.im/bigbosshorse 
Jabber: bigbosshorse@xmpp.jp

Обновление от 21 апреля 2020: 
Пост в Твиттере >>
Расширение: .azor
Записка: !read_me!.txt
Email: azor2020@protonmail.ch
ICQ: @azor2020 
Jabber: azor2020@jxmpp.jp 
Результаты анализов: VT + TG

Обновление от 11 февраля 2020:

Пост в Твиттере >>

Расширение: .razor

Записка: #RECOVERY#.txt

Email: razor2020@protonmail.ch

ICQ: @razor2020

Jabber: razor2020@jxmpp.jp

Результаты анализов: VT + AR + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as GarrantyDecrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.