SnowPicnic

SnowPicnic Ransomware 

0BtcRansoware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем не требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SnowPicnic. На файле написано: SnowPicnic.exe и SnowPicnicFrensomware.exe. Разработчик: _GOSHA

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic

К зашифрованным файлам добавляется расширение: .snowpicnic


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
Read.HTML
Read.TXT

Содержание записки о выкупе:
Your files has been encrypted with Millitary Grade Algorithm AES-256 (Advanced Encrypting Standard) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard,
And for decrypt: Buy to my wallet 0 bitcoins, not 0.5, not 1, not 2,0 bitcoins!ator will be crypted, obfuscated, and encoded with ASCII chars. Abort - spread to all computers. Retry - Record to BIOS and Hard Disk for installation and spreading before reinstaleut:***
Good luck!
Good bye!

Перевод записки на русский язык:
Ваши файлы зашифрованы с алгоритмом Millitary Grade AES-256 (Advanced Encryptioning Standard) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard,
И для расшифровки: купите мой кошелек 0 биткоинов, не 0,5, не 1, не 2,0 биткоинов! ator будет зашифрован, запутан и закодирован символами ASCII. Прервать - распространится на все компьютеры. Повторите попытку - запись в BIOS и жесткий диск для установки и распространения перед повторной установкой: ***
Удачи!
Пока!

Другой текст, для тех, кто будет смотреть код:
it's called a ransomware-not-ransomware.
EnyBeny Crypt - second ransomware.
Scrabber - withheld support, and no longer in service.
#0BtcRansoware

Другой текст с уведомлением Ask.com:
Ask.Com Notification
Install ask.com? Yes = yes, no = yes
Ask Toolbar started a installation to all computers of your network, and installator will be crypted, obfuscated, and encoded with ASCII chars. Abort - spread to all computers. Retry - Record to BIOS and Hard Disk for installation and spreading before reinstalling Windows. Ignore - Infect with ASK users.

Технические детали

По сообщениям разработчика: никогда не распространялся через RDP. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx, .avi, .bc6, .bc7, .bkf, .bkp, .cas, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho, .hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb, .mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf, .qic, .rar, .sb, .sid, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12, .t13, .tax, .vdf, .wma, .wmo, .wmv, .xls, .xlsx, .xml, .zip, .ztmp (64 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read.HTML
Read.TXT
SnowPicnicFrensomware.exe
SnowPicnicFrensomware.pdb
SnowPicnic.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\_GOSHA\SnowPicnic\SnowPicnicFrensomware\SnowPicnicFrensomware\obj\x86\Release\SnowPicnicFrensomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 gnation, anonymous / unknown
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.