FreeMe Ransomware
Freezing Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: FreeMe.exe
Обнаружения:
DrWeb -> Trojan.Encoder.28632
BitDefender -> Trojan.GenericKD.32087672
Symantec -> ML.Attribute.HighConfidence
VBA32 -> CIL.StupidCryptor.Heur
ESET-NOD32 -> MSIL/Filecoder.TG
© Генеалогия: предыдущие однотипные вымогатели >> FreeMe
Изображение — логотип статьи
К зашифрованным файлам добавляется следующие расширения:
.Freezing - во время шифрования файлы
.FreezedByWizard - по окончании шифрования файла
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину июня 2019 г. Штамп времени: 22 июня 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи нет никаких данных о массовом распространении.
Записка с требованием выкупа называется: .FreezedByMagic.README.txt
Файл записки может не находиться обычным способом.
Содержание записки о выкупе:
Do not panic!
All your files, documents, photos, databases and other important files are encrypted and have the extension: {Extension}
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
Contact us by e-mail in 7 days <{Email}> or your key will be deleted permanently.
God bless you!
Перевод записки на русский язык:
Не паникуйте!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: {Extension}
Единственный способ восстановления файлов - это покупка уникального закрытого ключа.
Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Свяжитесь с нами по email в течение 7 дней <{Email}> или ваш ключ будет удален навсегда.
Бог благословит вас!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Подробности о шифровании:
Этот шифровальщик генерирует безопасный ключ для AES и защищает его с помощью открытого ключа ECDH.
➤ Деструктивные действия:
Действия выглядят как кража личных данных
Переименовывает файлы, как обычно Ransomware
Создает файлы в каталоге программы
Создает файлы в пользовательском каталоге
Выполняет сценарий PowerShell
➤ Связан с другими вредоносными программами (вредоносные загрузчики, майнеры криптовалюты, похитители паролей и прочее).
Список файловых расширений, подвергающихся шифрованию:
Большинство популярных форматов.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
FreeMe.exe
powershell.exe
<random>.exe - случайное название вредоносного файла
.FreezedByWizard.log
.FreezedByMagic.log
.FreezedByMagic.README.txt
372f04007fc6254d033c2d89da36b63741e00c800dfc8ccd9ce7b814e7b8162a.zip.ps1
f6b1d9d4c1519de89224ceaaeafd95e2dd5dd8f0aabe01c207b9958b12fe4df2.ps1
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\.FreezedByWizard.log
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-file" "C:\Users\admin\AppData\Local\Temp\f6b1d9d4c1519de89224ceaaeafd95e2dd5dd8f0aabe01c207b9958b12fe4df2.ps1
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: FreeWizard9@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >> HA>>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 23 июля 2019:
Расширение: .HelloAgain
Email: FreeWizard9@protonmail.com
Hello again
Do not panic!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .HelloAgain
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
Contact us by e-mail in 7 days <FreeWizard9@protonmail.com> or your key will be deleted permanently.
God bless you!
----------------------------------------------------------------------------------------
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as FreeMe) Write-up, Topic of Support *
- Видеобзор работы FreeMe Ransomware, сделанный с помощью сервиса ANY.RUN
Thanks: Petrovic, Michael Gillespie Andrew Ivanov (author), ANY.RUN *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
