Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 января 2019 г.

CryCipher

CryCipher Ransomware

PayPalGenerator2019 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Обнаружения: 
DrWeb -> Trojan.Encoder.26978
BitDefender -> Trojan.GenericKD.40896401, Trojan.GenericKD.31607356, Generic.Ransom.PWS.Locker
ESET-NOD32 -> A Variant Of PowerShell/Filecoder.P

© Генеалогия: CryCipher > более новые варианты

Этимология названия:
Я совместил названия двух файлов этого вымогателя Cipher.psm1 и cry.ps1
 и получилось CryCipher. Cipher.psm1 + cry.ps1 = CryCipher

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

На момент написания статьи ничего неизвестно о его массовом распространении. Это может быть тестовый образец будущего Ransomware. Но адрес мог быть написан и с ошибкой, потому уплата выкупа на данный момент бесполезна. 

Записка с требованием выкупа называется: Readme_now.txt


Содержание записки о выкупе:
Your personal files have been encrypted, send an email to email@protonmail.com to recover them. Your ID: d7b9-068a-8e17

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы, отправьте email на email@protonmail.com, чтобы восстановить их. Ваш ID: d7b9-068a-8e17



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Для атаки использует системный Windows PowerShell, разработка компании Microsoft, от которой больше вреда, чем пользы. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .gif, .jpg, .mp3, .mp4, .pdf, .png, .ppt, .txt, .wav, .xls, 
Это документы MS Office, PDF, текстовые файлы, фотографии, картинки, музыка, видео.

Файлы, связанные с этим Ransomware:
Readme_now.txt
powershell.pdb
something.exe
SEO.exe
Cipher.psm1
cry.ps1
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\Readme_now.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: email@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 7 февраля 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: Readme_now.txt
Email: pay.ransom@protonmail.com
В ID Ransomware это теперь представлено под именем PayPalGenerator2019.
Файлы: Cipher.psm1 и cry.ps1


Файл EXE: PayPal-Generator-2019.exe

Штамп времени: 30 января 2019. 
UAC не обходит. Требуется разрешение на запуск.
Результаты анализов: VT + VMR

Обновление от 17 июня 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: Readme_now.txt
Email: servicep073@gmail.com
Файл EXE: IRS_Doc.exe
Результаты анализов: VT



=== 2022 ===

Вариант от 20 июля 2022: 
Расширение: .69
Доп. название: Cipher69 Ransomware
Записка: Readme_now.txt
Email: demo386@onion.com
Список расширений: .3gp, .7z, .avi, .bmp, .doc, .docx, .gif, .iso, .jpeg, .jpg, .mp3, .mp3, .mp4, .mp4, .msi, .pdf, .png, .png, .ppt, .pptx, .py, .rar, .sh, .txt, .wav, .xls, .xlsx, .zip
---
Файлы: Cipher.psm1, payload.exe
Результаты анализов: VT + AR + IA
Обнаружения: 
DrWeb -> PowerShell.Encoder.21
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of PowerShell/Filecoder.Q
Rising -> Ransom.Agent/PS!8.113B7 (CLOUD)
TrendMicro -> Ransom.Win32.SYRK.SM




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PayPalGenerator2019)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *