UNNAMED1989, WeChat

UNNAMED1989 Ransomware 

WeChat Ransomware 

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в 110 китайских юаней в течение трёх дней, чтобы вернуть файлы. Для оплата выкупа предлагается система WeChat. Оригинальное название: UNNAMED1989. На файле написано: что-то на китайском. Разработчик: Luo Moumou (Китай). 

© Генеалогия: явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало декабря 2018 г. Ориентирован на китайскоязычных пользователей, потому распространялся только в Китае. При этом за несколько дней было заражено более 100 тысяч компьютеров. 

👮 Благодаря китайским антивирусным компаниям Tencent, Qihoo 360 Security, Velvet Security Team разработчик-распространитель UNNAMED1989 был вскоре арестован. 
Tencent 1 декабря запретил QR-код WeChat для совершения платежей и закрыл связанную с ним учетную запись. Платформа Douban удалила страницу, используемую вредоносной программой в качестве сервера для отправки команд и управления.

Запиской с требованием выкупа выступает экран блокировки и зелёный экран, содержащий QR-код для оплаты через WeChat:

Содержание записки о выкупе:
***текст на китайском***

Перевод записки на русский язык (кратко):
Ваш компьютер зашифрован, пожалуйста, выполните следующие действия, сканируйте QR-код, вам нужно заплатить 110 юаней для дешифрования...
Рекомендуется использовать WeChat для оплаты...
Для вашей собственности безопасности в следующий раз покупайте подлинную Windows...
Сервер может быть закрыт в любое время. Сделав оплату вы первым получите ключ дешифрования...
Уплатить выкуп нужно до 3 декабря. После 3 декабря сервер автоматически удалит ключ дешифрования.  

Технические детали

Распространялся с помощью перепакованных и заражённых инсталляторов в Китае. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Вредонос изначально был сделан как программный модуль, который рекламировался как инфостилер, позволяющий желающим воровать счета Taobao, Alipay и связанные с ними средства, в том числе с других популярных китайских сайтов (Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud, Jingdong, Netease 163, Tencent QQ, Jingdong и других). Любые другие программы, которые использовали этот модуль, помогли бы распространить программу-вымогатель. Этим модулем было начинено не менее 50 приложений. Позже разработчик модифицировал свой первоначальный модуль, переделав его в "чит" (cheat). Он использовал китайскую социальную сеть Douban для отправки команд. Вредоносный модуль может использоваться также для одновременного ввода и управления несколькими учетными записями QQ. 

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, кроме системных и файлов самого Ransomware.
Это, конечно же, будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
%User%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать его можно бесплатно, но он на китайском >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Huorong, BleepingComputer
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.