Если вы не видите здесь изображений, то используйте VPN.

среда, 27 февраля 2019 г.

Scarab-Artemy

Scarab-Artemy Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: osk.exe. Вымогатель оставил подпись: Артемий. 

© Генеалогия: Scarab >> Scarabey, Osk, Bomber > Scarab-Artemy
Это изображение — логотип статьи. Изображает скарабея с ARTEMY.
This image is the logo of the article. It depicts a scarab with ARTEMY.

К зашифрованным файлам добавляется расширение: .ARTEMY

Примеры зашифрованных файлов:
AAX_C8gU9L634eU5eMPxSJ5zQH2D17jz.ARTEMY
yNgqMYzbaz4zmkiYpCJ8OwUYiyjGJRnX.ARTEMY

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

Содержание записки о выкупе:
ПРИНОШУ ИСКРЕННИЕ ИЗВИНЕНИЯ ЗА ДОСТАВЛЕННЫЕ НЕУДОБСТВА! БЕЗРАБОТИЦА В МОЕМ РЕГИОНЕ ВЫНУДИЛА ЗАШИФРОВАТЬ ВАШИ ФАЙЛЫ!
Это не мошенничество, а вынужденная мера. В случае соблюдения рекомендаций, Ваши файлы будут гарантированно расшифрованы (см. пункт "ГАРАНТИЯ РАСШИФРОВКИ ФАЙЛОВ")
Ваш личный идентификатор
6A02000000000000***353BA3E
Для восстановления Ваших документов, баз данных, фотографий, и других важных данных необходимо приобрести дешифровщик.
Для этого отправьте письмо на email:
artemy75@protonmail.com
Если ответа не поступило в течении 3х часов, продублируйте письмо на следующие адреса:
artemy75@cock.li
artemy75@tutanota.com
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Если связаться через почту не получается:
 * Скачайте и установите чат Tox (https://en.wikipedia.org/wiki/Tox_(protocol)   официальный сайт разработчиков: https://tox.chat/download.html )
 * Напишите сообщение на адрес (Tox ID):
E38E615F269782866CF4CA99414CF8C09DAC3DFC350EE326DD69511E1E785535C44E20616C4C
с указанием Вашей почты и личного идентификатора.
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Предусмотрены скидки  до 80% для следующих категорий граждан:
Безработные (Справка с центра занятости)
Малоимущие (Справка о признании гражданина (семьи) малоимущим)
Беременные (Справка из женской консультации о сроке беременности)
Инвалиды 1 и 2 группы (Справка об инвалидности)
В каждом из случаев требуется предоставить фото с паспортом и справкой.
Если у Вас нет биткойнов:
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 * Отправьте требуемое количество BTC на указанный в письме адрес
В случае возникновения сложностей с приобретением биткойнов, я обязательно помогу разобраться, обращайтесь на почту.
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
ГАРАНТИЯ РАСШИФРОВКИ ФАЙЛОВ:
Перед оплатой вы можете отправить мне до 3х файлов для бесплатной расшифровки. Это основная гарантия наличия у меня дешифровщика.
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Мне нет смысла врать (отправить дешифровщик занимает 30 секунд времени), после подтверждения оплаты Вы в течении нескольких минут получите дешифровщик. И гарантированно расшифруете ВСЕ свои файлы.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства это приведет к потере Ваших данных.
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования.
С наилучшими пожеланиями, Артемий!

Перевод записки на русский язык:
уже сделан



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет системные бэкапы файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
/c bcdedit /set {default} bootstatuspolicy ignoreallfailures
/c bcdedit /set {default} recoveryenabled No
/c copy /y "C:\27.02.2019.scr.exe" "%APPDATA%\osk.exe"
/c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT - записка в русской системе
ÊÀÊ ÂÎÑÑÒÀÍÎÂÈÒÜ ÇÀØÈÔÐÎÂÀÍÍÛÅ ÔÀÉËÛ.TXT - записка в нерусской системе
osk.exe
27.02.2019.scr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\osk.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: artemy75@protonmail.com
artemy75@cock.li
artemy75@tutanota.com
BTC:
Tox: E38E615F269782866CF4CA99414CF8C09DAC3DFC350EE326DD69511E1E785535C44E20616C4C
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR >> {Re-run > Add 60s+}
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабрь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
- видео начального момента
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ANY.RUN
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 24 февраля 2019 г.

Jokeroo

Jokeroo Ransomware

(шифровальщик-вымогатель, RaaS)
Translation into English


Этот крипто-вымогатель распространяется как RaaS и шифрует данные пользователей с помощью Salsa20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Jokeroo. Ранее этот безымянный RaaS рекламировал себя GandCrab Ransomware RaaS на хакерском форуме Exploit.in. Теперь теми же темпами открещивается от GandCrab в Твиттере. 

© Генеалогия: fake GandCrab RaaS >> Jokeroo RaaS


Оригинальный логотип Jokeroo
Начальная страница сайта для входа

Внимание! С течением времени в конце статьи, в обновлениях могут быть различия с первоначальным вариантом. 


Скриншоты с сайтов вымогательского проекта с описанием функционала и "преимуществ". Статистические данные на данный момент скорее всего фиктивные, т.к. они только недавно запустили своей RaaS. 
 
 

Партнеры вымогателей при покупки версии Essential за 90$ смогут:
- создать 1 Ransomware;
- изменить название проекта;
изменить требования выкупа;
изменить текст в TXT-записке
- заменить логотип Jokeroo;
- выбрать расширения;
изменить описание TXT-записки о выкупе;
- получать выкуп в биткоинах.

Партнеры вымогателей получат:
- доступ в панель управления;
- просмотр информации о ПК жертв; 
- обновления в авто и ручном режимах;
- просмотр новостей проекта;
- просмотр IP ПК жертв;
- 15% от сбора с жертв;
- пожизненную лицензию. 

Еще больше функционала и возможностей сулят при покупке лицензий Standard за 300$ и Premium за $600. Это больше настроек, 100% от выкупа, создание 5 и 10 Ransomware соответственно, приоритетная поддержка и также пожизненная лицензия (видимо, пока не посадят за совершенные преступления). 

Вымогатели сделали собственные скриншоты, наложив на них водяной знак со своим email. Они демонстрируют некоторые описанные выше возможности. 
 
 



Технические детали

Jokeroo Ransomware-as-a-Service продвигается на сайтах кибер-андеграунд и через Twitter. После покупки RaaS за $90 партнеры получают доступ к полнофункциональному серверу Ransomware и платежам. В рамках этой сделки филиалы и разработчики делят платежи, полученные от жертв.

Далее может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это может настраиваться в партнерском экземпляре Jokeroo RaaS. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Jokeroo.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://jokeroodgo3ylved.onion/
Tor-URL: xxxx://jokerootqsrkifko.onion/
Email: jokeroo@protonmail.com 
xmpp: jokeroo@exploit.im
BTC: настраивается в партнерском экземпляре Jokeroo RaaS.
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: пока ещё низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter, Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Damian, David Montenegro, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 23 февраля 2019 г.

Rontok

Rontok Ransomware

Borontok Ransomware

B0r0nt0K Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные на веб-серверах, а затем требует выкуп в 20 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Атакует Linux-серверы, но угроза для пользователей Windows также существует.

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение с сайта вымогателей

К зашифрованным файлам добавляется расширение: .rontok
Зашифрованные файлы переименовываются. 
Пример зашифрованных файлов с закодированными в base64 названиями:


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Этимология названия:
Вымогатели не удосужились дать точное название своему крипто-вымогателю. Поэтому, согласно принятому порядку именования, мы использовали расширение и дали название Rontok
Позже в коде страницы я заметил слово B0r0nt0K и добавил его в заголовок статьи. Это же осталось в коде новой странице нового домена, который вымогатели зарегистрировали 25 февраля 2019, взамен первого.
Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Один из пострадавших сообщил, что был атакован веб-сервер под управлением Ubuntu 16.04 (2016 г.).

Запиской с требованием выкупа выступает некий экран или веб-форма:
Содержание текста о выкупе:
Ops... Your file have been encrypted
And your database file have been encrypted too
UUID: d40bbe71aa5c763c9c87de**********
Click here to get decryption key
[Decryption Key]
[Decrypt]

Перевод текста на русский язык:
Опс ... Ваш файл был зашифрован
И файл вашей базы данных тоже был зашифрован
UUID: d40bbe71aa5c763c9c87de **********
Нажмите здесь, чтобы получить ключ расшифровки
[Ключ расшифровки]
[Расшифровать]


От пострадавшим требуется перейти на сайт borontok.uk и ввести полученный UUID.
Сообщение на сайте после ввода UUID:
Send 20 BTC to this address :
3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC
Your files and databases will be destroyed on 3 days.
Negotiate ? contact : info@borontok.uk
[d40bbe71aa5c763c9c87de **********]
Enter BTC TX ID if you already sent bitcoin...
[Check]

Перевод сообщения на русский язык:
Пошлите 20 BTC на этот адрес:
3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC
Ваши файлы и базы данных уничтожатся через 3 дня.
Договоримся ? контакт: info@borontok.uk
[d40bbe71aa5c763c9c87de **********]
Ввод BTC TX ID, если вы уже послали биткоины ...
[Проверить]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rF8v0KRh.php
<random> - случайное название

Расположения:
/server/
/web/

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://borontok.uk - домен, зарегистрированный 10 февраля 2019. 
Email: info@borontok.uk, info@botontok.uk
В названии botontok.uk вкралась ошибка, правильно borontok.uk
BTC: 3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 25 февраля 2019:
Новый сайт: xxxxs://borontok.com/
Новый email: viethckr@yandex.com
При просмотре сайта 28 февраля нового email уже не было. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Rontok)
  Topic of Support
 * 
Added later:
Write-up on BC (add. February 25, 2019
*
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 BleepingComputer
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 февраля 2019 г.

DoggeWiper

PowerHentai Ransomware

Idiot Ransomware

DoggeWiper Ransomware

(шифровальщик-вымогатель, деструктор)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, но на самом деле перезаписывает их своим непристойным текстом. Оригинальное название: в записке не указано. На файлах проектов написано: Idiot.pdb и The power of hentai.pdb. Ясно, что разработчик этого деструктора не определился с названием и торопится заявить о том, какой он "крутой". 

Обнаружения: 
DrWeb -> Trojan.Renamer.116
BitDefender -> Trojan.GenericKD.31718614
Avira (no cloud) -> TR/BadJoke.xehvz
ESET-NOD32 -> MSIL/BadJoke.NT
Kaspersky -> Trojan.MSIL.KillFiles.d
Tencent -> Msil.Trojan.Killfiles.Ebgt

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .vscode


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RacWmiDatabase.sdf.txt
Она замещает (перезаписывает) собой зашифрованные файлы, при открытии которых открывается этот один и тот же файл. 

Вот как выглядит содержимое этого файла при открытии в браузере и в Блокноте. 

Содержание записки о выкупе:
my name is tostring and your pc is now fucked
fuck you pain exist you fucking nigger
now go fucking cry to your skid friends and your skid followers/fans about how your pc just died megalul
─────────▄──────────────▄
────────▌▒█───────────▄▀▒▌
────────▌▒▒▀▄───────▄▀▒▒▒▐
───────▐▄▀▒▒▀▀▀▀▄▄▄▀▒▒▒▒▒▐
─────▄▄▀▒▒▒▒▒▒▒▒▒▒▒█▒▒▄█▒▐
───▄▀▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▀██▀▒▌
──▐▒▒▒▄▄▄▒▒▒▒▒▒▒▒▒▒▒▒▒▀▄▒▒▌
──▌▒▒▐▄█▀▒▒▒▒▄▀█▄▒▒▒▒▒▒▒█▒▐
─▐▒▒▒▒▒▒▒▒▒▒▒▌██▀▒▒▒▒▒▒▒▒▀▄▌
─▌▒▀▄██▄▒▒▒▒▒▒▒▒▒▒▒░░░░▒▒▒▒▌
─▌▀▐▄█▄█▌▄▒▀▒▒▒▒▒▒░░░░░░▒▒▒▐
▐▒▀▐▀▐▀▒▒▄▄▒▄▒▒▒▒▒░░░░░░▒▒▒▒▌
▐▒▒▒▀▀▄▄▒▒▒▄▒▒▒▒▒▒░░░░░░▒▒▒▐
─▌▒▒▒▒▒▒▀▀▀▒▒▒▒▒▒▒▒░░░░▒▒▒▒▌
─▐▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▐
──▀▄▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▄▒▒▒▒▌
────▀▄▒▒▒▒▒▒▒▒▒▒▄▄▄▀▒▒▒▒▄▀
───▐▀▒▀▄▄▄▄▄▄▀▀▀▒▒▒▒▒▄▄▀
──▐▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▀▀
wow such beautiful files
such wow
made by minecraft master and tostring

Перевод записки на русский язык:
Нет резона переводить этот непристойный, бессмысленный текст.

На экране компьютера в быстром темпе сменяются изображения. 

Оригинальное изображение загружено из приложения Discord и представляет собой танцующую девушку. 



Технические детали

Распространяется через Discord. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RacWmiDatabase.sdf.txt
<random>.exe - случайное название
The power of hentai.exe
The power of hentai.pdb
Idiot.exe
BandagedBD_Windows_1.exe
DiscordAccessPlugin.exe
update_discord.exe 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Minecraft\Idiot\Idiot\obj\Release\Idiot.pdb
C:\Minecraft\The power of hentai\The power of hentai\obj\Release\The power of hentai.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL:
xxxxs://cdn.discordapp.com/attachments/548593284985913388/548621341654515783/despacito.gif
xxxxs://cdn.discordapp.com/attachments/548593284985913388/548622096075325441/The_power_of_hentai.exe  {Malware}
xxxxs://cdn.discordapp.com/attachments/279746430569021450/349331655342948352/6cJqr9nR.exe  {Malware}
xxxxs://cdn.discordapp.com/attachments/444852318056480770/445676993800044555/update_discord.exe  {Malware}
xxxxs://cdn.discordapp.com/attachments/300754440976203778/300996499330957313/DiscordAccessPlugin.exe {Malware}
xxxxs://cdn.discordapp.com/attachments/511444079419326468/511444666034683904/BandagedBD_Windows_1.exe {Malware}
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DoggeWiper)
 Write-up, Topic of Support
 * 
 Thanks: 
 Dodge This Security, Petrovic
 Andrew Ivanov (author), Michael Gillespie
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *