среда, 26 декабря 2018 г.

Snatch

Snatch Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей и сетевых ресурсов с помощью AES, а затем требует выкуп в 1-5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на языке Go. Распространяется группой, называющей себя Snatch Team

Обнаружения:
DrWeb -> Trojan.Encoder.27215, Trojan.Encoder.27230, Trojan.Encoder.27997, Trojan.Encoder.30050
BitDefender -> Gen:Variant.Razy.480981, Trojan.GenericKD.31697664, Trojan.GenericKD.31699206, Generic.Ransom.Snatch.B5ABCDA4, Gen:Variant.Ransom.Snatch.2
Kaspersky -> Trojan.Win32.DelShad.co
Malwarebytes -> Ransom.Snatch
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .snatch

Этимология названия:
Название "Snatch" связано с фильмом "Snatch" ("Большой куш", 2000 г.). Записка с требованием выкупа содержит email-адрес imBoristheBlade@protonmail.com, который указывает на персонажа фильма Бориса Юринова, по прозвищу Boris "The Blade" или Boris "The Bullet-Dodger".

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme_Restore_Files.txt

Содержание записки о выкупе:
All your files are encrypted
Do not try modify files
My email imBoristheBlade@protonmail.com

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Не пытайтесь изменять файлы
Мой email imBoristheBlade@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Совмещается с похитителями информации, чтобы получить с атакованных компьютеров и организаций "Большой куш": — Воровать и шифровать!  

Позже стало известно...
Вымогатели, распространяющие Snatch, стремятся проникнуть в корпоративные сети, используя автоматические атаки и брутфорс на уязвимые уязвимые сервисы, а затем стремятся распространить вредоносное ПО в сети целевой организации посредством действий, ориентированных на человека. У всех организаций, где были обнаружены вредоносные файлы Snatch и сопутствующие вредоносные элементы, позднее было обнаружено, что один или несколько компьютеров с RDP открыты для доступа в Интернет. После первоначального вторжения злоумышленники вошли в систему на контроллере домена (DC), используя сервер Azure в качестве точки опоры, злоумышленники использовали учетную запись администратора, поддерживали доступ, собирали и извлекали информацию, а также отслеживали скомпрометированную сеть организации в течение нескольких недель. Они также устанавливают ПО для наблюдения примерно на 5% всех компьютеров в сети, что помогает обеспечивать удаленный доступ, позволяющий поддерживать постоянство в скомпрометированной сети, даже если скомпрометированный сервер Azure будет отключен.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Маркер, которым помечаются зашифрованные файлы.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme_Restore_Files.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: imBoristheBlade@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

➤ Образцы обычно упакованы UPX с открытым исходным кодом, чтобы скрыть их содержимое.

➤ Шифровальщик пропускает следующие директории: 
C:\
windows
recovery
$recycle.bin
perflogs
Program Files
ProgramData
start menu
microsoft
templates
favorites
system volume information
common files
dvd maker
internet explorer
microsoft
mozilla firefox
reference assemblies
tap-windows
windows defender
windows journal
windows mail
windows media player
windows nt
windows photo viewer

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 7 февраля 2019:
Пост в Твиттере >>
Расширение: .FileSlack
Записка: Readme_Restore_Files.txt
Email: gomer@horsefucker.org, gomersimpson@keemail.me
➤ Содержание записки: 
All your files are encrypted
Do not try modify files
My email gomer@horsefucker.org, gomersimpson@keemail.me
➤ Маркер, которым помечаются зашифрованные файлы.


Обновление от 14 февраля 2019:
Пост в Твиттере >>  
Пост в Твиттере >>
Расширение: .jupstb
Записка: Readme_Restore_Files.txt
➤ Содержание записки: 
Attention!
Do not rename the ciphered files.
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss.
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss.
You do not joke with files.
My email johnsonwhate@protonmail.com, johnsonwhate@tutanota.com
Файл EXE: jupstb.exe
Результаты анализов: VT + VT
➤ Маркер, которым помечаются зашифрованные файлы.

Обновление от 20 февраля 2019:
Пост в Твиттере >>
Первая загрузка в ID Ransomware была из России. 
Расширение: .cekisan
Email: A654763764@qq.com
Записка: Readme_Restore_Files.txt
➤ Содержание записки: 
Attention!
Do not rename the ciphered files.
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss.
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss.
You do not joke with files.
My email A654763764@qq.com
Маркер файлов похож на предыдущие. 

Обновление от 5 марта 2019:
Пост в Твиттере >>
Расширение: .icp
Записка: Restore_ICPICP_Files.txt
Email: 
decrypter02@cumallover.me, piterpen02@keemail.me
➤ Содержание записки: 
Attention!
Do not rename the ciphered files
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss.
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss.
You do not joke with files.
My email decrypter02@cumallover.me,piterpen02@keemail.me



Обновление от 16 марта 2019:
Пост в Твиттере >>
Расширение: .jimm
Записка: Restore_JIMM_Files.txt
Email: jimmtheworm@dicksinmyan.us
➤ Содержание записки: 
Attention!
Do not rename the ciphered files
Do not try to decrypt your data with the help of the third-party software, it can cause constant data loss
If you, your programmers or your friends help you to decrypt your files - it can lead to data loss
You do not joke with files.
My email jimmtheworm@dicksinmyan.us


Обновление от 18 марта 2019:
Топик на форуме >>
Расширение: .FKVGM
Записка: Restore_FKVGM_Files.txt

Обновление от 6 апреля 2019:
Несколько признаков говорят, что это действительно может быть Snatch, только немного измененный. Вымогатели, конечно, пытаются обмануть пострадавших, чтобы они в поисках помощи не смогли ее получить и попытки дешифровки другими средствами потерпели неудачу. 
Условное расширение: .abcde  
Шаблон расширения: .<name_pc-user>, .<name_company>
Записка (пример): DECRYPT_ABCDE_FILES.txt
Записка в реальном случае: DECRYPT_FANOT_FILES.txt
Шаблон записки: 
DECRYPT_<name_pc-user>_FILES.txt
DECRYPT_<name_company>_FILES.txt
URL: xxxx://krismalt.tk
TOR_URL: xxxx://snatchh5ssxiorrn.onion
BTC: 13NtqiVEhw7kmGJhbnxUvJ2XyqXA2xKVHa
НА сайте вымогателей есть три страницы: Payment, Support (chat). Test decrypt, FAQ
Имя ПК я заменил на ABCDE. Это заметно на первой картинке. 
Часть диалога (конкретно: слова пострадавшего) я также скрыл. 
Я оставил только ответы вымогателей, как доказательства того, что они на самом деле хотят 5 BTC и угрожают опубликовать украденные данные с ПК пострадавшего. 



Обновление от 26 апреля 2019:
Пост в Твиттере >>
Расширение: .hceem
Записка: RESTORE_HCEEM_DATA.txt
Email: newrecoverybot@pm.me
BTC: 13TvbUKYEAqwu3FP7RDu8vZhVucmUg9Zxy
URL: xxxx//mydatassuperhero.com
Tor-URL: xxxx//snatch6brk4nfczg.onion
Результаты анализов: VT + VMR

Обновление от 23 июня 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .cbs0z
Записка: RESTORE_CBS0Z_DATA.txt
Email: sqlbackup3@mail.fr
BTC: 1NeXSHC2apVSiabH2QqxWLMqv2K7Z7usBX
➤ Содержание записки: 
1. Decoding cost
The cost of decryption is 6000$. (Bitcoin is a form of digital currency) in 72 hours the price will be 10,000 dollars.
Smart pays quickly. Immediately after payment - all your files will be restored.
2. Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
IMPORTANT! - if you, your programmers or your friends will help you decrypt your files - this can lead to data loss. even when you pay we will not be able to help you. Do not joke with files.
Contact Email
sqlbackup3@mail.fr
3. Free decryption as guarantee
You can send us up to 3 files for free decryption. The total size of files must be less than 1 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
4. Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number:
1NeXSHC2apVSiabH2QqxWLMqv2K7Z7usBX
. As we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
5. The process of buying bitcoins:
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
important! smart pays quickly. Immediately after payment, your files will be decrypted and you can continue to work peacefully. We will also give recommendations on what needs to be done so that you do not have any more security problems.
Contact Email
sqlbackup3@mail.fr
PLEASE DO NOT CREATE A NEW LETTER! RESPOND TO THE
LETTER TO THIS LETTER.
This will allow us to see all the history of the census in
one place and respond quickly to you.

Обновление от 12 августа 2019:
Сообщения с форума киберподполья:

Bullet Tooth Tony, который постит объявления — это тоже персонаж из фильма "Snatch" (2000 г.). См. "Этимологию названия" в начале статьи. 

Обновление от 20 августа 2019:
Топик на форуме >>
Расширение: .ohwqg 
Email: doctor666@mail.fr
Записка: DECRYPT_OHWQG_FILES.txt
➤ Содержание записки:
Hello! Your all your files are encrypted and only I can decrypt them.
my mail is 
doctor666@mail.fr
Write me if you want to return your files - I can do it very quickly!
Attention!
Do not rename encrypted files. You may have permanent data loss.
You can be a victim of fraud
To prove that I can recover your files, I am ready to decrypt any three files for free (except databases, Excel and backups)
PLEASE DO NOT CREATE A NEW LETTER! RESPOND TO THE
LETTER TO THIS LETTER.
This will allow us to see all the history of the census in
one place and respond quickly to you.
hurry up!

Обновление от 10 декабря 2019:
➤ Новый вариант Snatch перезагружает ПК, чтобы удалить антивирусы, а потом зашифровать файлы. 
Компонент Snatch Ransomware устанавливается в качестве службы Windows под названием SuperBackupMan, способной работать устойчиво в безопасном режиме.
В реестре для этого прописывается следующий ключ:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service

SuperBackupMan не может быть остановлен или приостановлен пользователем во время работы, а затем принудительно перезагружает компьютеры в безопасном режиме, чтобы отключить любые антивирусные программы и зашифровать файлы. 
После того, как ПК перезагружается в безопасном режиме Windows, вредонос удаляет все тома теневых копии файлов, чтобы не позволить восстановить файлы после шифрования их теневых копий. На следующем этапе Snatch начинает шифровать файлы. Это возможно на ПК, работающих под управлением Windows 7-8-10 (32-x и 64x).
Исследователи из Sophos сделали видео-демонстрацию, демонстрирующую эти вредоносные действия Snatch.
Ссылки на статьи:
от Sophos News >>
от BleepingComputerpuer >>



Обновление от 28 ноября 2019:
Пост в Твиттере >>
Расширение: .wvtr0 
Записка: RESTORE_WVTR0_FILES.txt
Email: newrecoveryrobot@pm.me
Файл: wvtr0x64.exe
Результаты анализов: VT + HA + IA 


Обновление от 14 декабря 2019:
Пост в Твиттере >>
Расширение (шаблон): .<random> или .<id>
Расширение (пример): .egmwv
Записка (шаблон): DECRYPT_<ID>_FILES.txt
Записка (пример): DECRYPT_EGMWV_FILES.txt
Email: doctor666@mail.fr, doctor666@cock.li
Файл: vbcudt.exe
Результаты анализов: VT + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29809
BitDefender -> Trojan.GenericKD.32812536
ESET-NOD32 -> A Variant Of Win64/Filecoder.AM
Microsoft -> Ransom:Win64/Gocoder.A!MSR
TrendMicro -> Ransom_Gocoder.R002C0DLE19



=== 2020 ===

Обновление от 2 января 2020:
Пост в Твиттере >>
Расширение: .tl30z или .<random>
Записка:  DECRYPT_TL30Z_FILES.txt или  DECRYPT_<RANDOM>_FILES.txt
Email: repairdb@seznam.cz, repairdb@mail.fr
➤ Содержание записки:
Hello!
All your files are encrypted, write to me if you want to return your files - I can do it very quickly!
Contact me by e-mail:
repairdb@seznam.cz or repairdb@mail.fr
The name of the letter must contain an encryption extension
Do not rename encrypted files, you may lose your files permanently.
You may be a victim of fraud. Free decryption as guarantee. 
Send us up to 3 files for free decryption.
The total size of files must be less than 1 Mb! (non archived), and files should not contain valuable information. (databases,backups, large excel sheets etc.)
!!! Do not turn off or restart the NAS equipment. This will result in data loss !!!
Результаты анализов: VT + HA + VMR + AR
➤ Новые обнаружения: 
DrWeb  ->  Trojan.Encoder.30050
BitDefender  ->  Generic.Ransom.Snatch.B5ABCDA4
Symantec -> ML.Attribute.HighConfidence



Обновление от 12 января 2020:
Расширение: .<random{10}> или .<random
Записка: RESTORE_<RANDOM>_FILES.txt
Email: decryptor911@airmail.cc, decryptor666@420blaze.it
➤ Содержание записки:
Hello, *******! 
All your files are encrypted and only I can decrypt them.
Contact me:
decryptor911@airmail.cc or decryptor666@420blaze.it
Write me if you want to return your files - I can do it very quickly!
The header of letter must contain extension of encrypted files.
I'm always reply within 24 hours. If not - check spam folder, resend your letter or try send letter from another email service (like protonmail.com).
Attention!
Do not rename or edit encrypted files: you may have permanent data loss.
To prove that I can recover your files, I am ready to decrypt any three files (less than 1Mb) for free (except databases, Excel and backups).
HURRY UP!
If you do not email me in the next 48 hours then your data may be lost permanently.

Обновление от 14 февраля 2020:
Пост на форуме >>
Расширение (шаблон): .<random> или .<id>
Расширение (пример): .yiojrbdaz
Записка (шаблон): DECRYPT_<ID>_FILES.txt
Email: doctor777@mail.fr





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Snatch)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 GrujaRS
 *
 affected users

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton