Viagra Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA-4096 (для AES-ключа), а затем требует выкуп в 0.4 BTC ~ 403.60 USD, чтобы вернуть файлы. Оригинальное название: Viagra Ransomware. На файле написано: dotnetfx35setup.exe или что-то другое, тоже известное. Фальш-имя: Microsoft .NET Framework 3.5. Фальш-копирайт: Microsoft Corporation. Также есть отметка о версии: Viagra yungthugger (V-0.1.31)
Обнаружения:
DrWeb -> Trojan.Encoder.29308
BitDefender -> Generic.Ransom.Spora.6EC2E0B1
Symantec -> Trojan.Gen.MBT
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Avira (no cloud) -> TR/AD.RansomHeur.nhpgb
Изображение — только логотип статьи
© Генеалогия: выясняется, явное родство с кем-то не доказано.
В записке о выкупе упоминается расширение: .ObcK
К зашифрованным файлам добавляется случайное закодированное в base64 расширение. Например: .Qtyu8vH5wDXf6OSWAm5NuA==ObcK
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был обнаружен в середине августа 2019 года, но тз текста записки можно узнать, что активность его пришлась на середину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется по шаблону: README-VIAGRA-<random{8}>.HTML
Пример записки о выкупе: README-VIAGRA-ObcKWm4z.HTML
Содержание записки о выкупе:
YOU BECAME VICTIM OF THE VIAGRA RANSOMWARE!
What happened to my files?
Your files were encrypted with AES-256 and RSA-4096. This combination is cryptographically secure and cannot be cracked. There are no flaws in the encryption
method. Tools like Recuva, or Shadow Copies will fail as soon as they are launched. But, your hope is not to lose. Every file with the ".ObcK" extension was encrypted
(you can verify by yourself that, just, go into your user profile folders, for example, or, into your connected drives).
How do I decrypt my files?
To decrypt your files, you will need to pay a certain amount of money to us, in an anonymous manner.
First step, is to create an Bitcoin account (if you don't have one), use the following URL:
Crypto Runner guide.
InvestoPedia guide.
Send a payment to the following BitCoin address of 0.4 BTC ~ 403.60 USD, and keep the transaction / payment ID:
1Bqca3tn3Yco6SftgHeyYQUxqb2MPtwFBj
After, contact one of the following e-mail addresses present below. If you do not get a reply from one, send to the other one, until you get a reply (this happens in less
than 24 hours, in normal conditions); check also your spam folder. Use your real E-mail address, and use the subject "Decryption"; add as attached file this HTML
document, and add to the body the payment ID. We do not give decryption for test service, so, don't request for free decryption on the e-mail. We will tell the rest of
istructions after the e-mail was sent.
Do what you're told. Don't try to swear on us, or we will block you and your ID forever. Don't try to fool us into using 10MinuteMail or similar services,
use them for later.
E-mail addresses:
First address ("youngthug412")
First address ("hparrockneverstop")
After decryption, your E-mail address and your ID will be wiped off our servers, don't fear for your life.
Is there a time limit?
Yes, three months from now (day, month, year; Monday, August 19, 2019, 9:20:30 AM). Date was added to the ID, and is not removable from it (will make us ignore
you forever). Be quick to pay, after 1,5 months from now, the price will be raised of the 50%, and, after three months, your ID will be blocked, that will happen also to
your real e-mail address.
-- Nigga livin life like vulcano and this only the beginnin' --
ID: ObcKWm4zMNJW9191xnByMdFR0HF18W7ZRMxp/OsETNDv6J+B4ZZS5y84U4xWq4/d30h/G7+Z2Uxnjf2ZSK80YgtYqLP4iwOZhEYsexl
+UZmNMJlQFmISxhAlh7KSwWazUorr/qeV4rlpofEylO8Jp1ZSITZZq8EC4i3AdJ4uiKmNL0NAN50wShBt2CdsguFfNuqG1iyqM0nl447oD4a4WwlyevKts
+40xEztED1bCJ91jcMC7/vf4iiM8+BJXOJu9nLn97ml6CAOKhQB03bhdVXdcVNMlrSFPMQ4VTkKvlufv8SEgcp0RY9yA9jCgr1lPwDyCQ/6QCQGwWTYUxDYUGd0kQKWEL9o
upAE4ajgpWsH1UltxH4MLtmX2YrOAe/sf9VHmMiv2cSO/jPPqrFnvu+h+Ug6kYMkHpG5K9l7OJV/EOw6l46mKSN5ITy1rfUuX7/q2G+0fgYuafYBJFC2Gv6Pxc2cOM4stA
+rdwdYITFmrlNnvV7ifvyHvKVyWNM8OwMAc9smRdz99gBmAl/TsgfCm6zHoRXUuEMXvCtwPb44Co9EjkKLpGlDovIr03+MB54iqUy9O87i8RZq5lzKYp0Hha4We4SWDmnE
XQ0IZ9UV8DHRzI49RMS9fXB3LxfTw4QwakYJ98SV/TW1OdQqCRl6PJdOY97+AFMEcySIt8U=
Ссылки в сообщении:
https://cryptorunner.com/get-started-with-bitcoin/
https://www.investopedia.com/tech/how-to-buy-bitcoin/
Email в сообщении:
youngthug412@protonmail.com
hparrockneverstop@protonmail.com
Перевод записки на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ ПРОГРАММЫ VIAGRA!
Что случилось с моими файлами?
Ваши файлы были зашифрованы с помощью AES-256 и RSA-4096. Эта комбинация криптографически безопасна и не может быть взломана. В методе шифрования нет недостатков. Такие инструменты, как Recuva или Shadow Copies, не будут работать сразу после запуска. Но ваша надежда не потеряна. Каждый файл с расширением ".ObcK" был зашифрован (вы можете сами убедиться, что просто зайдите, например, в папки своего профиля пользователя или на подключенные диски).
Как мне расшифровать мои файлы?
Чтобы расшифровать ваши файлы, вам нужно будет заплатить нам определенную сумму анонимно.
Первый шаг - создать учетную запись Bitcoin (если у вас ее нет), используйте следующий URL:
Руководство по Crypto Runner.
Руководство InvestoPedia.
Отправьте платеж на следующий адрес BitCoin 0,4 BTC ~ 403.60 USD и сохраните ID транзакции / платежа:
1Bqca3tn3Yco6SftgHeyYQUxqb2MPtwFBj
После, свяжитесь с одним из следующих адресов email, представленных ниже. Если вы не получили ответ от одного, отправьте другому, пока не получите ответ (в обычных условиях это происходит менее чем за 24 часа); проверьте также папку со спамом. Используйте свой реальный адрес email и используйте тему "Decryption"; добавьте в качестве прикрепленного файла этот HTML-документ и добавьте в тело ID платежа. Мы не предоставляем услугу тестовой расшифровки, поэтому не запрашивайте бесплатную расшифровку по email. Мы расскажем об остальной части инструкции после отправки email.
Делай то, что тебе говорят. Не пытайтесь ругаться с нами, иначе мы навсегда заблокируем вас и ваш ID. Не пытайтесь обмануть нас в использовании 10MinuteMail или аналогичных сервисов, используйте их позже.
Адреса email:
Первый адрес ("youngthug412")
Первый адрес ("hparrockneverstop")
После расшифровки ваш адрес email и ваш ID будут стерты с наших серверов, не бойтесь за свою жизнь.
Есть ли ограничение по времени?
Да, через три месяца (день, месяц, год; понедельник, 19 августа 2019 г., 9:20:30). Дата была добавлена к идентификатору и не может быть удалена из нее (заставит нас игнорировать вас навсегда). Быстро оплатите, через 1,5 месяца цена будет повышена на 50%, а через три месяца ваш ID будет заблокирован, что также произойдет с вашим реальным адресом электронной почты.
- Ниггер живёт как вулкан и это только начало -
ID: ***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Выполняется как служба Windows.
➤ Для всех файлов с помощью RNG (генератора случайных чисел) генерируется один ключ AES, который шифруется открытым ключом RSA-4096 (вместе с текущей датой) и используется в качестве идентификатора в записке о выкупе. Файлы переименовываются в <filename>.<Base64 (IV)> <sub (ID, 4)>
➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe Delete Shadows /All /Quiet
Список файловых расширений, подвергающихся шифрованию:
.$$$, .3dm, .3ds, .3g2, .3gp, .602, .apk, .arj, .asm, .au3, .avi, .band, .bat, .bik, .bin, .bit, .bkp, .bmp, .cad, .ccp4, .cdf, .cdr, .cer, .cfg, .cfm, .cgi, .class, .com, .conf, .cpp, .cps, .css, .csv, .dbg, .deb, .djvu, .doc, .docm, .docx, .dot, .dotm, .elf, .eml, .eossa, .eps, .erf, .fds, .flac, .gadget, .gba, .gbc, .gif, .gml, .gsm, .hpp, .htm, .html, .ico, .ihtml, .ini, .jar, .java, .jpeg, .jpg, .jsp, .jtd, .jtt, .key, .lip, .lua, .m4a, .maf, .mcpack, .mctemplate, .mkv, .mmp, .mmpz, .mov, .mp2, .mp3, .mpa, .mpp, .myd, .navpath, .ncf, .nfo, .nokogiri, .nrg, .nsh, .nth, .nvram, .oa2, .oa3, .obj, .obt, .obx, .obz, .ocr, .oda, .odb, .odf, .odg, .odif, .odl, .odo, .ogg, .opus, .osd, .osf, .osr, .osu, .p01, .p10, .p12, .p7b, .p7c, .pak, .pcd, .pdb, .pdc, .pdf, .peb, .pef, .pfx, .php, .pk3, .pkg, .ply, .png, .ppt, .pptm, .pptx, .ppx, .prc, .proofingtool, .prz, .ps1, .ps1xml, .pub, .pubx, .pyc, .pys, .qbm, .qbx, .r00, .rar, .rdb, .reg, .rss, .rtf, .rwlibrary, .sam, .sas7bdat, .sav, .sheet, .shtml, .sis, .skb, .sln, .smh, .spb, .spc, .sql, .sqlite, .sqlite1, .ssh, .ssx, .stone, .struct, .suf, .svg, .swift, .szs, .tar, .tar.gz, .tdr, .tex, .tga, .tgz, .thm, .tif, .tiff, .tml, .tor, .torrent, .txt, .url, .vbs, .vgm, .vid, .vob, .wad, .war, .wdb, .web, .webmoney, .wks, .wmv, .wpl, .wps, .wsf, .x11, .xhtml, .xla, .xls, .xlsm, .xlsx, .xml, .xpl, .xsl, .zip (211 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README-VIAGRA-ObcKWm4z.HTML
BACKGROUND.BMP
vssvc.exe
dotnetfx35setup.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\system32\vssvc.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: youngthug412@protonmail.com, hparrockneverstop@protonmail.com
BTC: 1Bqca3tn3Yco6SftgHeyYQUxqb2MPtwFBj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >> IA>>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
