NewWave

NewWave Ransomware

ClobeImposter-NewWave Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: ClobeImposter > ClobeImposter 2.0 > NewWave

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .LotR
Фактически используется составное расширение: .[new_wave@tuta.io].LotR


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середиину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #NEW_WAVE.html

Содержание записки о выкупе:
RECOVER YOUR FILES
---WARNING!!! Your files was encrypted!
Save the ID before doing anything on the computer!!!
Be sure to save this ID, without it decryption is impossible!!!
Your personal ID:
A0 1C 2B 5D 5A 92 85 48 28 C1 D9 B1 69 BD 68 A9
***
FF A0 8C 43 B2 4F B4 A1 27 56 3F 70 57 DF 4E 86
Send 3 test image or text file new_wave@tuta.io or newwave@airmail.cc.
In the letter include your personal ID (look at the beginning of this document).
We will give you the decrypted file and assign the price for decryption all filesAfter we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
To recover data you need decryptor.
Instructions for obtaining a decryptor:
Send your ID to the mailbox below and wait for the answer:new_wave@tuta.io or newwave@airmail.cc.
In the response letter there will be instructions for decoding.
Attention!!!
Only new_wave@tuta.io or newwave@airmail.cc can decrypt your files
Do not trust anyone new_wave@tuta.io or newwave@airmail.cc
Do not attempt to remove the program or run the anti-virus tools
Decoders other users are not compatible with your data, because each user's unique encryption key
Attempts to self-decrypting files will result in the loss of your data

Перевод записки на русский язык:
ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ
---
ПРЕДУПРЕЖДЕНИЕ!!! Ваши файлы были зашифрованы!
Сохраните ID, прежде чем делать что-то в компьютере!!!
Обязательно сохраните этот ID, без него расшифровка невозможна!!!
Ваш личный ID:
A0 1C 2B 5D 5A 92 85 48 28 C1 D9 B1 69 BD 68 A9
***
FF A0 8C 43 B2 4F B4 A1 27 56 3F 70 57 DF 4E 86
Отправьте 3 тестовых изображения или текстовый файл на new_wave@tuta.io или newwave@airmail.cc.
В письме укажите свой личный ID (посмотрите в начале этого документа).
Мы дадим вам расшифрованный файл и назначим цену для расшифровки всех файлов. После этого отправим вам инструкцию о том, как оплатить расшифровку, и после оплаты вы получите расшифровщик и инструкции. Мы можем расшифровать один файл в доказательство того, что у нас есть декодер.
Для восстановления данных вам нужен расшифровщик.
Инструкция по получению расшифровщика:
Отправьте свой ID в почтовый ящик ниже и дождитесь ответа: new_wave@tuta.io или newwave@airmail.cc.
В ответном письме будут инструкции по расшифровке.
Внимание!!!
Только new_wave@tuta.io или newwave@airmail.cc могут расшифровать ваши файлы
Не доверяйте никому, кроме new_wave@tuta.io или newwave@airmail.cc
Не пытайтесь удалить программу или запустить антивирусные инструменты
Декодеры других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Деструктивные действия: 
Некоторые действия выглядят как кража личных данных
Переименовывает файлы, как это делает Ransomware.
Изменяет значение Автозапуска в реестре Windows.
Запускает cmd.exe для выполнения команд.
Читает кукисы в Mozilla Firefox.
Создает файлы в пользовательском каталоге.
Создает файлы в каталоге программы.
Записывает в файл desktop.ini (для маскировки папок).
Исполняемый контент удаляется или перезаписывается.

➤ Использует индикаторы, указывающие на следующие антивирусы:
COMODO
Kaspersky Lab
McAfee
Avira
Avast
Symantec

Список файловых расширений, подвергающихся шифрованию:
.avi, .bfc, .bmp, .cab, .contact, .crl, .csv, .dat, .db, .docx, .exe, .gif, .icc, .ini, .jar, .jpg, .js, .json, .lnk, .log, .lst, .m4a, .mkv, .mp3, .msi, .msp, .ods, .odt, .ots, .pdf, .png, .pptx, .properties, .rdf, .rll, .rsm, .rtf, .sol, .sqlite, .src, .swf, .url, .vss, .wav, .xls, .xlsx, .xml, .xsl, .zip
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений и пр.

Файлы, связанные с этим Ransomware:
#NEW_WAVE.html
exec.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\exec.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Name: BrowserUpdateCheck
Value: C:\Users\admin\AppData\Local\exec.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: UNCAsIntranet
Value: 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: AutoDetect
Value: 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: UNCAsIntranet
Value: 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: AutoDetect
Value: 1
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

GlobeImposter Ransomware - декабрь 2016
GlobeImposter 2.0 Ransomware - апрель 2017
GlobeImposter-NewWave Ransomware - апрель-май 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GlobeImposter 2.0)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, Raby, JAMESWT
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.