PewCrypt

PewCrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем и заставляет вас подписаться на YouTube-канал. Оригинальное название: PewCrypt. Написан: на языке Java.

© Генеалогия: предыдущие Java-вымогатели >> PewCrypt

Логотип, тиражируемый фанатами

К зашифрованным файлам добавляется расширение: .PewCrypt

Предыстория вымогательства: 
Несколько месяцев держится противостояние "PewDiePie vs T-Series" в Интернете, при этом хакеры всех мастей и степеней "крутости" всеми мыслимыми и немыслимыми способами пытаются удержать канад шведского видеоблогера PewDiePie по числу подписчиков выше, чем канал индийской компании T-Series. 
Канал PewDiePie пять лет был первым в YouTube. Ранее хакеры-фанаты PewDiePie заставили принтеры по всему миру печатать призывы подписываться на PewDiePie. 

Потом этого оказалось мало и появились программы-вымогатели: PewDiePie Ransomware, основанный на ShellLocker Ransomware и написанный на языке .NET, и описываемый в этой статье PewCrypt Ransomware, который также поддерживает канал PewDiePie. 

Странно что подобные выходки не преследуются по закону и не ведут к аннулированию результатов, накрученных фанатами PewDiePie. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранние образцы этого крипто-вымогателя были обнаружены ещё в начале декабря 2018 года (через некоторое время я перемещу статью в декабрьский список). Вновь они были представлены во второй половине февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста с экрана:
Your Files Have Been Encrypted
Pewdiepie Sub Count: 87149078
T-Series Sub Count: 87002517
Your files have been encrypted using a 256 bit AES key which has been encrypted with a 2048 bit RSA key
In order to get your files back read the instructions bellow
Instructions:
 - Subscribe to Pewdiepie (Hint: Hit the bro fist)
 - Wait until Pewdiepie reaches 100 million subs at which point a decryption tool will be realseaed
If T-Series beats Pewdiepie THE PRIVATE KEY WILL BE DELETED AND YOU FILES GONE FOREVER!

Перевод текста на русский язык:
Ваши файлы были зашифрованы
Подсчет Pewdiepie: 87149078
Подсчет T-серии: 87002517
Ваши файлы были зашифрованы с 256-битным AES-ключом, который был зашифрован с 2048-битным RSA-ключом
Чтобы получить ваши файлы обратно, прочтите инструкции ниже
Инструкции:
  - Подпишитесь на Pewdiepie (Подсказка: удар кулаком)
  - Подождите, пока Pewdiepie не достигнет 100 миллионов подписок, после чего инструмент дешифрования будет реализован
Если T-Series выиграет у Pewdiepie, ЧАСТНЫЙ КЛЮЧ БУДЕТ УДАЛЕН, И ФАЙЛЫ ПРОПАДУТ НАВСЕГДА!

Технические детали

Ничего не известно о распространении и пострадавших. Разработчик этого Ransomware добровольно предоставил дешифровщик (ссылка после статьи). Говорит, что изучал Java, для чего и сделал PewCrypt. 
Если кто-то возьмёт этот шифровальщик для своих целей, то он может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются файлы размером более 20 Мб и расширения .PewCrypt, .exe, jar, .dll.

Мьютексты:
Shell.CMruPidlList
_SHuassist.mtx

Файлы, связанные с этим Ransomware:
PewCrypt.exe - исполняемый файл вымогателя
javaw.exe - исполняемый файл вымогателя
<random>.exe - случайное название
AES.key - специальный файл, оставленный на Рабочем столе
PewDecrypt.exe - дешифровщик от разработчика

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\imageio8834113908193005117.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT на дешифровщик >>
🐞 Intezer analysis >>   IA на дешифровщик >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Разработчик предоставил дешифровщик PewDecrypt
Ссылка на Google-диск >> 
***
Затем Emsisoft выпустили безопасный дешифровщик
Ссылка на Emsisoft Decrypter для PewCrypt >> 
Подробная инструкция прилагается

 Read to links: 
 Tweet on Twitter + devTweet + myTweet
 ID Ransomware (ID as PewCrypt)
 Write-up, Topic of Support
 * 

 * 

 Thanks: 
 A K, Konnor88
 Andrew Ivanov (author)
 Leo, Michael Gillespie
 __JustMe__ (dev)
 

© Amigo-A (Andrew Ivanov): All blog articles.