Blitzkrieg

Blitzkrieg Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружение: 
DrWeb -> Trojan.Encoder.28019
BitDefender -> Generic.Malware.Tk.2E4B1991

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — это логотип статьи

К зашифрованным файлам добавляется расширение: .bkc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HowToBackFiles.txt

Содержание записки о выкупе:
Attention !!!
All your files on this server have been encrypted.
Write this ID in the title of your message
To restore the files need to write to us on e-mail: Blitzkriegpc@protonmail.com
The price for restoration depends on how quickly you write tous.
After payment we will send you a decryption tool that will decrypt all your files.
You can send us up to 3 files for free decryption.
 -files should not contain important information
 -and their total size should be less than 1 MB
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party software,this can lead to permanent data loss!
Your ID: ;961;;898

Перевод записки на русский язык:
Внимание !!!
Все ваши файлы на этом сервере зашифрованы.
Напишите этот ID в заголовке вашего сообщения
Для восстановления файлов надо написать нам на email: Blitzkriegpc@protonmail.com
Цена восстановления зависит от того, как быстро вы напишете.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Вы можете отправить нам до 3 файлов для бесплатной расшифровки.
  -файлы не должны содержать важную информацию
  -и их общий размер должен быть менее 1 МБ
ВАЖНО!!!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести у потере данных!
Ваш ID: ;961;;898

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки/

Другие деструктивные действия:
- отключает Защитника Windows;
-  очищает журналы Windows;
- очищает Корзину на всех дисках;
- отключает гибернацию;
- останавливает работу программ удаленной помощи (TeamViewer и др.).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HowToBackFiles.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Blitzkriegpc@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 мая 2019:
Расширение: .bkc
Составное расширение: .[blellockr@godzym.me].bkc
Email: blellockr@godzym.me

Обновление от 13 мая 2019:
Пост в Твиттере >>
Расширение: .non
Email: xihuanya@protonmail.com
Записка: HowToBackFiles.txt
Результаты анализов: VT

Обновление от 20 июня 2019:
Check Point Research изучили вариант с расширением .non и смогли его расшифровать. Они выдумали новое название NonRansomware, чтобы указать на расшифрованный вариант. Скриншот программы прилагается. Ссылки ниже в блоке ссылок и спасибок. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Некоторые варианты могут быть расшифрованы. 
Есть дешифровщик для файлов, зашифрованных вариантом с расширенеим .non
Прочитать статью >> 
Скачать NonDecryptor >>

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (first ID as Blitzkrieg)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.