Seon Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SEON RAMSOMWARE. На файле написано: нет данных.
Обнаружения:
DrWeb -> Trojan.Encoder.28630
BitDefender -> Trojan.GenericKD.31311937, Gen:Variant.Ser.Razy.1971
Symantec -> ML.Attribute.HighConfidence
ALYac -> Trojan.Ransom.Seon
Malwarebytes -> Ransom.Seon
VBA32 -> BScope.TrojanRansom.Encoder
Kaspersky -> Trojan-Ransom.Win32.Encoder.cwz
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSV
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .FIXT
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Рання активность этого крипто-вымогателя была в октябре, потом он показался в начале ноября 2018 г. Ранний вариант был ориентирован на корейских пользователей. Вариант ноября ориентирован на англоязычных пользователей, что позволяет распространять его по всему миру.
Записка с требованием выкупа называется: YOUR_FILES_ARE_ENCRYPTED.txt
Содержание записки о выкупе (ноябрь):
SEON RANSOMWARE
all your files has been encrypted
There is only way to get your files back: contact with us, pay and get decryptor software
We accept Bitcoin and other cryptocurrencies
You can decrypt 1 file for free
write email to kleomicro@gmail.com or kleomicro@dicksinhisan.us
Перевод записки на русский язык:
SEON RANSOMWARE
все ваши файлы зашифрованы
Есть только способ вернуть ваши файлы: контакт с нами, оплатите и получите программу для дешифрования
Мы принимаем Биткоин и другие криптовалюты
Вы можете бесплатно дешифровать 1 файл
пишите письмо на kleomicro@gmail.com или kleomicro@dicksinhisan.us
Технические детали
Для распространения используется набор эксплойтов GreenFlashSundown EK. Вредоносные элементы, стоящие за набором эксплойтов GreenFlash Sundown, могут скомпрометировать рекламный сервер издателя, чтобы он отображал вредоносную рекламу для посетителей. Кроме установки Seon Ransomware, комплект эксплойтов может установить майнер криптовалюты и троян Pony, похищающий информацию.
Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: kleomicro@gmail.com
kleomicro@dicksinhisan.us
URL: magellan.bestdealsadvbiz.space
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ДЕШИФРОВЩИК ===
Пост в Твиттере >>
SEON Decryptor ver. 0.2
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 1 января 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Версии: 0.1 и 0.2
Расширение: .FIXT
Email: kleomicro@gmail.com
kleomicro@dicksinhisan.us
landolfrizzo@mailfence.con
landolforizzo2@gmail.com
landolforizzo2@tfwno.gf
Записки: YOUR_FILES_ARE_ENCRYPTED.txt, readme.hta
Обновление от 3 апреля 2019:
Пост в Твиттере >>
Версии: 0.2
Расширение: .FIXT
Записки: readme.hta
YOUR_FILES_ARE_ENCRYPTED.TXT
Email: seonunlock@protonmail.com
seonunlock@naver.com
Результаты анализов: VT + AR
➤ Содержание текстовой записки:
SEON RANSOMWARE ver 0.2
all your files has been encrypted
There is only way to get your files back: contact with us and pay $1500
We accept Bitcoin and other cryptocurrencies
Do not try to reinstall operation system on your computer
Do not try to decrypt files with third party tools, this can lead to data loss
You can decrypt 1 file for free
Our contact emails:
seonunlock@protonmail.com
seonunlock@naver.com
---
➤ Содержание HTA-записки:
ALL YOUR PERSONAL FILES HAVE BEEN ENCRYPTED!
All your documents, photos, databases and other important files have been encrypted and you can't decrypt it yourself. No one but us can return your files. Free decryption utility does not exist. Each file is encrypted with its unique key, cryptography based on elliptic curves, key recovery is impossible.
Focus on the problem, follow your instructions and everything will be fine. DON'T PANIC! YOU CAN RETURN ALL YOUR FILES!
FREE decrypting as guarantee
You can test decryption 1 any file for free (with help our special software "SEON Decryptor").
What to do?
First you should write me and i'll send you a special software "SEON Decryptor" (this software needed to decrypt encrypted files).
To start the process of decrypting ALL files, you need buy key to the "SEON Decryptor".
The price is $1500 in any cryptocurrency.
Contacts
E-Mail: seonunlock@protonmail.com
E-Mail: seonunlock@naver.com
Attention!
Decryption keys are individual, the keys of other users will not work for you
Do not try to decrypt files with third party tools, this can lead to data loss
Do not try to reinstall operation system on your computer
Обновление от 3 июля 2019 (возможно и раньше):
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .FIXT
Email: seonunlock@protonmail.com, seonunlock@naver.com
Записки: YOUR_FILES_ARE_ENCRYPTED.TXT и readme.hta
➤ Содержание текстовой записки:
SEON RANSOMWARE ver 0.2
all your files has been encrypted
There is only way to get your files back: contact with us
We accept Bitcoin and other cryptocurrencies
Do not try to reinstall operation system on your computer
Do not try to decrypt files with third party tools, this can lead to data loss
You can decrypt 1 file for free
Our contact emails:
seonunlock@protonmail.com
seonunlock@naver.com
Результаты анализов: VT + HA + VMR
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as Seon) Write-up, Topic of Support *
Thanks: (victim in the topic of support) Anti-malware vigilante, Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.