JSWorm, JSWorm 2.0, JSWorm 3.1

JSWorm Ransomware

JSWorm 2.0 Ransomware

JSWorm 3.0-3.1 Ransomware

JSWorm 4.0.2-4.0.3 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: JSWorm, в записке не указано. Написан: на C# (ранняя версия), на C++ (версия 2.0). 

Обнаружения: 
DrWeb -> Trojan.Encoder.27988, Trojan.Encoder.28062, Trojan.Encoder.28180
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.JSWorm
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Jurasik.Fotl

© Генеалогия: GusCrypter >> JSWorm-2 > JSWorm-3 > JSWorm > JSWorm-4

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .JSWORM


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был найден во второй половине января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: JSWORM-DECRYPT.html

Содержание записки о выкупе:
ALL YOUR FILES LOCKED!
YOUR PID: %HWID%
YOUR PERSONAL EMAIL: NIGER1253@COCK.LI
WHAT NOW?
Email us
Write your ID at title of mail and country at body of mail and wait answer
You have to pay some bitcoins to unlock your files!
DON'T TRY DECRYPT YOUR FILES!
If you try to unlock your files, you may lose access to them!
REMEMBER!
No one can guarantee you a 100% unlock except us!
How to buy bitcoin

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЛОКИРОВАНЫ!
Ваш PID: %HWID%
ВАШ ЛИЧНЫЙ EMAIL: NIGER1253@COCK.LI
ЧТО ТЕПЕРЬ?
Свяжитесь с нами по email
Напишите свой ID в названии письма и страну в теле письма и ждите ответ 
Вы должны заплатить несколько биткоинов, чтобы разблокировать ваши файлы!
Не пытайтесь расшифровать ваши файлы!
Если вы попробуете разблокировать ваши файлы, вы можете потерять к ним доступ!
ПОМНИТЕ!
Никто не может гарантировать вам 100% разблокировку, кроме нас!
Как купить биткойн

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Ошибка в коде ранней версии сводит на "нет" связь пострадавших с вымогателем. Уплата выкупа для ранней версии бесполезна, но файлы можно расшифровать. Смотрите после статьи раздел ссылок. 

➤ Файлы, зашифрованные более новыми версиями, в некоторых случаях могут быть расшифрованы. Смотрите после статьи раздел ссылок. 

➤ Файлы частично зашифрованы (0x27100 байт). Впрочем, могут быть различия в разных версиях. Нет подробного технического анализа по разным версиям, чтобы можно было добавить подробностей и опубликовать ссылку на статью в разделе ссылок. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

➤ Останавливает множество служб. Завершает множество процессов, связанных с базами данных (MSSQL, MySQL, QuickBooks). 

➤ Очищает системные журналы и отключает их ведение. 

➤ Активирует ключ реестра "EnableLinkedConnections", чтобы атаковать подключенные диски при запуске от имени администратора.

➤ Активирует и перезапускает отключенные службы SMB (LanmanWorkstation). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
JSWORM-DECRYPT.html
JSWorm.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: NIGER1253@COCK.LI
BTC: ***
Jabber: jsworm@exploit.im
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

JSWorm Ransomware - январь 2019
JSWorm 2.0 Ransomware - апрель-май 2019
JSWorm 3.0 -3.1 Ransomware - июнь 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Данные по версии 2.0:

Обновление от 25 апреля 2019:
Пост в Твиттере >>
Версия: JSWorm 2.0
Расширение: .JSWORM
Результаты анализов: VT

Статус: файлы можно расшифровать! 


Обновление от 7 мая 2019:
Расширение: .JSWORM
Составное расширение: .[ID-XXXXXXXXX][remarkpaul77@cock.li].JSWORM
Записка: JSWORM-DECRYPT.txt
Email: remarkpaul77@cock.li, alfred.helper@keemail.com

➤ Содержание записки о выкупе: 
All your files were encrypted!
Your personal ID: XXXXXXXXXXX
>>> Contacts:
    remarkpaul77@cock.li
    alfred.helper@keemail.com (in case of no answer)
>>> What should I include in my message?
1. Country
2. List of encrypted drives and their size
3. Extension of encrypted files (.[ID-XXXXXXXXXX][remarkpaul77@cock.li].JSWORM)
4. JSWORM PUBLIC KEY (below)
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
We recommeded to send pictures, text files, sheets, etc. (files no more than 1mb)
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
-------BEGIN JSWORM PUBLIC KEY-------
**********************************
-------END JSWORM PUBLIC KEY-------

Пострадавшие из следующих стран: Италия, Франция, Турция, Иран, Вьетнам, Германия, Бразилия, Аргентина, ЮАР, США.
Статья на BC от 21 мая 2019 >>
Результаты анализов: VT

Обновление от 14 мая 2019:
Пост в Твиттере >>
По сообщению MalwareHunterTeam, деятели из JSWorm передали привет исследователям S!Ri, Demonslay и Amigo. 

Ну, хоть кто-то сказал нам "Привет!" 😄 
Результаты анализов: VT


Обновление от 23 мая 2019:
Топик на форуме >>
Этот вариант распространялся в Китае. 
Статья по этому варианту (на китайском) >>
Расширение: .JURASIK
Шаблон составного расширения: .[ID-1234567890][notfreekrypt@tutanota.com].JURASIK
Email: notfreekrypt@tutanota.com, notfreekrypt@cock.li
Записка о выкупе: JURASIK-DECRYPT.txt
Файл EXE: JSWorm.exe, build.exe
Результаты анализов: VT

Обновление от 27 мая 2019:
Расширение: .JSWORM
Шаблон составного расширения: .[ID-123456789][andriybakyn@inbox.lv].JSWORM
Пример зашифрованного файла: document.doc.[ID-123456789][andriybakyn@inbox.lv].JSWORM
Записка: JSWORM-DECRYPT.txt
Email: andriybakyn@inbox.lv, bazzel.night@mail.com

➤ Содержание записки о выкупе: 
Don't worry, all your files under strong protection!
Your personal ID: 878284***
>>> Contacts:
andriybakyn@inbox.lv
bazzel.night@mail.com (in case of no answer)
>>> What should I include in my message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
>>> Ways of obtaining bitcoin:
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://www.xmlgold.eu
--------BEGIN JSWORM PUBLIC KEY--------
cyc9eQYHHxkpODsZLhkzfgAiADESKSQZHn***
--------END JSWORM PUBLIC KEY--------
--------BEGIN JSWORM USER DATA--------
DTEbLwYXHCJoAXQ4CjdjBgo+BjoYey0WAx***
--------END JSWORM USER DATA--------

Обновление от 29 мая 2019:
Расширение: .JURASIK
Email: doctorSune@protonmail.com, supportdoctor@protonmail.com
➤ Содержание записки о выкупе: 
Don't worry, all your files under strong protection!
Your personal ID: 38697*****
>>> Contacts:
doctorSune@protonmail.com
supportdoctor@protonmail.com (in case of no answer)
>>> What should I include in my message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
>>> Ways of obtaining bitcoin:
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://www.xmlgold.eu
--------BEGIN UNNAMED PUBLIC KEY--------
AyU/PyYoMgUGBjE1Di8lCjUkAxQ6Jjo4MygbChUTICggADUBewAUKQsXLCApPhQH
***
--------END UNNAMED PUBLIC KEY--------
--------BEGIN UNNAMED USER DATA--------
ADEFCBkcegVjEREcCnIJBAw/AnMlBDQ5CXACDAgSPHZiJxM5HAoYKiU1HRc4fA5k
***
--------END UNNAMED USER DATA--------



Обновление от 8 июня 2019:
Номер версии: JSWORM 3.1
Они даже взяли картинку из этой статьи. Видимо понравилась. :) 
Топик на форуме >>
Расширение: .JSWORM
Составное расширение: .[ID-1234567890][backupuser198@gmail.com].JSWORM
Email: backupuser198@gmail.com
Записка: JSWORM-DECRYPT.hta

➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: backupuser198@gmail.com
Write this unique identificator in the title of your message: 1592098***
In case of no answer in 24 hours write us to this e-mail:
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databasesm backupsm large excel sheets, etc)

Обновление от 9 июня 2019:
Номер версии: JSWORM v.3.0
Расширение: .JSWORM
Шаблон составного расширения: .[ID-3456789012][jurasik@cock.li].JSWORM
Записка: JSWORM-DECRYPT.hta
Email: jurasik@cock.li, jsworm@cock.li

➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: jurasik@cock.li
Write this unique identificator in the title of your message: 3529887933
In case of no answer in 24 hours write us to this e-mail: jsworm@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databases, backups, large excel sheets, etc)
Attention!
---> Don't rename encrypted files.
---> Don't try to decrypt your data using third party software, it may cause permanent data loss.
---> Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam.

Обновление от 19 июня 2019:
Топик на форуме >>
Номер версии: JSWORM v.3.1
Расширение: .JSWORM
Составное расширение: defontes.xlsx.[ID-123456789][jurasik@cock.li].JSWORM
Email: jurasik@cock.li, jsworm@cock.li
Записка: JSWORM-DECRYPT.hta

➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: jurasik@cock.li
Write this unique identificator in the title of your message: 713693837
In case of no answer in 24 hours write us to this e-mail: jsworm@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databases, backups, large excel sheets, etc)
Attention!
---> Don't rename encrypted files.
---> Don't try to decrypt your data using third party software, it may cause permanent data loss.
---> Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam.


Обновление от 30 июня 2019: 
Пост в Твиттере >>
Пост в Твиттере >>
Номер версии: JSWORM v.4.0.2
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: eula.rtf.[ID-9A8I36E][symmetries@tutamail.com].JSWRM
Email: symmetries@tutamail.com, symmetries@tutanota.com
Записка: JSWRM-DECRYPT.hta
Результаты анализив: VT + VT + VMR

Обновление от 13 июля 2019: 
Топик на форуме >>
Топик на форуме >>
Номер версии: JSWORM v.4.0.2
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: banner.png.[ID-31NSXXX][tryingtobegood@cock.li].JSWRM
Email: tryingtobegood@cock.li
Записка: 31NSXXX-DECRYPT.hta
Шаблон записки: <id>-DECRYPT.hta


Обновление от 23 июля 2019: 
Топик на форуме >>
Номер версии: JSWORM v.4.0.3
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Примеры зашифрованных файлов: 
banner.png.[ID-YHFOXXX][kviss@protonmail.com.JSWRM
news.txt.[ID-YHFO6S9][kviss@protonmail.com].JSWRM 
Email: kviss@protonmail.com

Обновление от 27 июля 2019: 
Топик на форуме >>
Номер версии: JSWORM v.4.0.3
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: 
banner.png.[ID-53W4XXX][tryingtobegood@cock.li].JSWRM
Email: tryingtobegood@cock.li
Примеры записок: 53W4XXX-DECRYPT.hta, AKX45SJ-DECRYPT.hta
Шаблон записки: <id>-DECRYPT.hta

➤ Содержание записки:
JSWORM 4.0.3
Your files are corrupted!
Identificator for files: AKX45SJ
E-mail for contact: tryingtobegood@cock.li
Backup e-mail for contact : tryingtobegood@cock.li
Free decryption as guarantee!
Before paying you can request free decryption of 3 files.
Total size of files must be less than 5MB (non-archived).
Files shouldn't contain valuable information (accept only txt\jpg\png).
Attention!
Don't try to decrypt it manually.
Don't rename extension of files.
Don't try to write AV companies (they can't help you).

Обновление августа 2019:

Похоже на то, что JSWorm изменился на Nemty.

Отдельная статья: Nemty Ransomware

=== 2020 ===

Обновление от 15 сентября 2020 (распространялось в 2019):

Статус: Можно расшифровать!

Топик на форуме >>

Записка: JBUIIGF-DECRYPT.hta

Email: kviss@protonmail.com

➤ Содержание записки: 

Your files are corrupted!

Identificator for files: JBUIIGF

E-mail for contact: kviss@protonmail.com

Backup e-mail for contact : kviss@protonmail.com

Free decryption as guarantee!

Before paying you can request free decryption of 3 files.

Total size of files must be less than 5MB (non-archived).

Files shouldn't contain valuable information (accept only txt\jpg\png).

Attention!

Don't try to decrypt it manually.

Don't rename extension of files.

Don't try to write AV companies (they can't help you).

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! Иногда файлы можно расшифровать. 
1) Файлы 1-й версии можно дешифровать.
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> 
2) Для файлов, зашифрованных JSWorm 2.x есть дешифровщик.
Прочтите инструкцию и скачайте Emsisoft Decrypter >> *
3) Для файлов, зашифрованных JSWorm 3.x пока нет дешифровщика.
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> 
4) Для файлов, зашифрованных JSWorm 4.x есть дешифровщик.
Прочтите инструкцию и скачайте Emsisoft Decrypter >>

К сожалению, версии новее 2.0 пока не могут быть расшифрованы.
Если ваши файлы зашифрованы, пришлите нам несколько зашифрованных файлов и записки.
*

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as JSWorm, JSWorm 2.0)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author), CyberSecurity GrujaRS
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.