SymmyWare

SymmyWare Ransomware

SymmiWare Ransomware

(шифровальщик-НЕ-вымогатель, деструктор) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем даже не требует выкуп (в записке написано 0 биткоин), чтобы вернуть файлы. Оригинальное название: SymmyWare. На файле написано: что попало (случайное название). Название разработчика: TODO.

Обнаружения:

DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.32725

BitDefender -> Gen:Heur.Ransom.Imps.3, Trojan.GenericKD.43938747

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK, A Variant Of Win32/Packed.Obsidium.AS

Malwarebytes -> Ransom.HiddenTear

Microsoft -> Ransom:Win32/HiddenTear.gen

Symantec -> Downloader, ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Raas.Auto, 

TrendMicro -> Ransom_HiddenTear.R002C0DIU20, Ransom.MSIL.SYMMYWARE.AA

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare > SymmyWare NextGen

К зашифрованным файлам добавляется расширение: .SYMMYWARE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Выпуск этого шифровальщика пришёлся на 1 ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру, если это произойдет.

Записка с требованием выкупа называется: SIMMYWARE.TXT

Содержание записки о выкупе:
*-------=SymmiWare=-------*
All your files was ciphered by Strong algorythm AES-128.
Take your time, no one will be able to decrypt your files without our decryption service.
To decrypt files, pay $ 0 in Bitcoins. If you do not have 0 bitcoins (everyone has it) then go to the site localbitcoins.com and there send to our wallet (which we do not have) and write to the mail simmyware@protonmail.ch to get the key and the decoder.
We advise you not to mess around because you still do not restore their hands.
We've also encrypted all your drives, files on your hard drives and network drives.
AES-128 is the Most reliable military-grade cryptographic algorithm.
There's no way to hack it, not even with a supercomputer.
The file cutter will start in 48 hours.
Don't be stupid and ugly like Patrick.
Any hacking attempts can fuck all of your data and the locker will turn them into pee-pee.
Good luck. Goodbye.
P.S I'm not spreading, and I can't.
P.P.S. The best time to send a letter: after November 25 (while we register the mail), and the fact that we wrote about 48 hours - it was a joke. We do not count down the time until the system is removed.
*-------=SymmiWare=-------*

Перевод записки на русский язык:
* ------- = SymmiWare = ------- *
Все ваши файлы были зашифрованы сильным алгоритмом AES-128.
Не спешите, никто не сможет расшифровать ваши файлы без нашей службы расшифровки.
Чтобы расшифровать файлы, заплатите $ 0 в биткойнах. Если у вас нет 0 биткоинов (у каждого есть), перейдите на сайт localbitcoins.com и отправьте на наш кошелек (которого у нас нет) и напишите на адрес simmyware@protonmail.ch, чтобы получить ключ и декодер.
Мы советуем вам не возиться, т.к. вы все равно не восстановите своими руками.
Мы также зашифровали все ваши диски, файлы на жестких дисках и сетевых дисках.
AES-128 - самый надежный криптографический алгоритм военного класса.
Невозможно взломать его, даже с помощью суперкомпьютера.
Резак файлов включится через 48 часов.
Не будь глупым и вздорным, как Патрик.
Любые попытки взлома могут трахнуть все ваши данные и локер превратит их в пи-пи.
Удачи. Прощай.
P.S Я не распространяю, и я не могу.
P.P.S. Лучшее время для отправки письма: после 25 ноября (пока мы регистрируем почту), и тот факт, что мы писали около 48 часов - это была шутка. Мы не отсчитываем время, когда система не будет удалена.


---
*| Перевод на русский опубликован, как есть, без исправления ошибок и лексики. 

Технические детали

По сообщениям разработчика: никогда не распространялся через RDP, но в этой версии замечено использование утилиты PsExec. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифрует данные, используя следующий порядок действий:
- генерирует пароль
- ищет диски и другие хранители информации
- проброс
- шифрует их с помощью AES-128 (Размер блока 128), дополнительно оставляет сообщение
- проброс
- если есть интернет - он посылает запрос на сайт (И так будет в цикле пока пользователь не включит интернет (если же он выключен))
- стирает пароль
- запускает видео с Youtube
- закрывается

➤ Пытается использовать утилиту PsExec.exe для выполнения команд на удалённых ПК. По данным исследователей, PsExec использовался без админ-прав, то ли из-за ошибки, то ли на пробу. 

Список файловых расширений, подвергающихся шифрованию:
Это документы, базы данных 1С, видео, фото, картинки, сертификаты и прочие файлы. 

Файлы, связанные с этим Ransomware:
SIMMYWARE.TXT
hyBrDFjOidLuty.exe
jisMlDfmBgdeF.exe
watadminsvc.exe
<random>.exe - случайное название
hyBrDFjOidLuty.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\65F3.tmp\6604.bat C:\jisMlDfmBgdeF.exe  - пример
D:\delphi\hyBrDFjOidLuty\hyBrDFjOidLuty\hyBrDFjOidLuty\obj\x86\Release\hyBrDFjOidLuty.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-host: fairybreathes.6te.net
Email: simmyware@protonmail.ch
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>  HA>>
𝚺  VirusTotal анализ >>  VT>> VT>>  VT на PsExec >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>  AR>>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 сентября 2020:

Пост в Твиттере >>

Расширение: .SYMMYWARE

Записка: SYMMYWARE.TXT

Добавляется в Автозагрузку Windows: C:\Users\Admin\AppData\Roaming\Microsoft\Word\STARTUP\SYMMYWARE.TXT

Email: simmyware@protonmail.ch

URL: fairybreathes.6te.net

Файлы: ky.exe

%TEMP%\PsExec.exe

%TEMP%\hyBrDFjOidLuty.exe

Результаты анализов: TG + VT + IA + AR + VMR + JSB

➤ Обнаружения:

DrWeb -> Trojan.Encoder.32725

BitDefender -> Trojan.GenericKD.43938747

ESET-NOD32 -> A Variant Of Win32/Packed.Obsidium.AS

Malwarebytes -> Ransom.HiddenTear

McAfee -> Generic-FAWW!80143152971E

Rising -> Trojan.Generic@ML.94 (RDML:qiz***

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> Ransom_HiddenTear.R002C0DIU20

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>

 Thanks: 
 gnation
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.