BulbaCrypt HT Ransomware
MarozkaTear Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Bulba, ss.exe и God.exe
Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.*
Symantec -> Ransom.HiddenTear!g1
ALYac -> Trojan.Ransom.BulbaCrypt
© Генеалогия: HiddenTear >> Marozka > BulbaCrypt > HermesCrypt
К зашифрованным файлам добавляется расширение: .Crypted
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt
Содержание записки о выкупе:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Crypted.
This form files '.Crypted' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address india2lock@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!
Перевод записки на русский язык:
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат .Crypted.
Эта форма файлов '.Crypted' является совместной разработкой American Hackers.
Вы можете восстановить файлы только используя расшифровщик и пароль, которые, в свою очередь, знаем только мы.
Подобрать это невозможно.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля
Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап.
Напишите нам письмо на адрес india2lock@gmail.com
У вас осталось 48 часов. Если они не расшифрованы, то через 48 часов они будут удалены !!!
Запиской с требованием выкупа также выступает экран блокировки.
Содержание текста на экране:
Hello - admin
Your computer name - USER-PC
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted ".Crypted".
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password.
Click the tab "Decryption instructions" and follow the instructions
Перевод текста на русский язык:
Привет - admin
Имя вашего компьютера - USER-PC
Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат ".Crypted".
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля.
Нажмите на вкладку "Инструкции по расшифровке" и следуйте инструкциям
---
Скриншоты с другими вкладками экрана блокировки.
Скриншоты с сайта ethclicks.live, который теперь заблокирован, показывают то, что там было.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Вредоносная атака сопровождается работой трояна-инфостилера (похитителя паролей), который обнаруживается половиной антивирусных движков на сайте VirusTotal.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ss.exe
HOW TO DECRYPT FILES.txt
Decrypter.exe
BotCollector.exe - троян, который притворяется генератором биткоинов, но просто запускает вредоносное ПО.
<random>.exe - случайное название вредоносного файла
ransom.jpg
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://ethclicks.live
xxxx://ethclicks.live/lo/write.php
xxxx://ethclick.live/ss.exe - payload
xxxx://ethclicks.live/lo/index.html - Panel
Email: india2lock@gmail.com
BTC: 1Whw7gqqi9GeqHixPvgMNo2aiHSSEyPvT
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
𝚺 VirusTotal analysis на файл Decrypter.exe >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >> AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Marozka Ransomware - март 2019
BulbaCrypt Ransomware - май 2019
HermesVirus HT Ransomware - май 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 27 мая 2019:
Новые ссылки на аналогичные сайты: xxxx://ethchain.live/BotCollector.zip
xxxx://ethchain.live/1.exe
xxxx://ethmoney.live/BotCollector.zip
xxxx://ethmoney.live/1.exe
xxxx://ethcrypto.live/BotCollector.zip
xxxx://ethcrypto.live/1.exe
xxxx://ethpromo.live/BotCollector.zip
xxxx://ethpromo.live/1.exe
xxxx://ethmoney.club/BotCollector.zip
xxxx://ethmoney.club/1.exe
Обновление от 9 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .CROWN
Записка: HOW TO DECRYPT FILES.txt
Также используется экран блокировки.
Email: hghtllfh77137@gmail.com
Файл EXE: God.exe
Результаты анализов: VT + AR + IA
➤ Содержание текстовой записки:
All your information (documents, databases, backups and other files) on this computer has beenencrypted using the most cryptographic algorithms.
All encrypted files are formatted .CROWN.
This form files .CROWN is a joint development American Hackers.
No system administrator in the world can solve this problem without knowing the password
Drop us an email at the address hghtllfh77137@gmail.com with your PC name
---
Обновление от 11 июля 2019:
Расширение: .Pox
Записка: HOW TO DECRYPT FILES.txt
Email: vpsimf@gmail.com
URL: xxxx://maper.info
xxxx://kingswagy.ru/Decrypter.exe
xxxx://kingswagy.ru/ransom.jpg
➤ Содержание текстовой записки:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Pox.
This form files '.Pox' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the addres vpsimf@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:ID Ransomware (ID as HiddenTear)Write-up, Topic of Support
Added later:
Thanks:Frost, Petrovic, JAMESWT, Michael GillespieAndrew Ivanov (author) *to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
