Если вы не видите здесь изображений, то используйте VPN.

понедельник, 30 сентября 2019 г.

Muhstik

Muhstik Ransomware

QNAPCrypt-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей на сетевых накопителях QNAP NAS с помощью AES-256 (режим CBC) + SHA256, а затем требует выкуп в 0.045 - 0.09 BTC (~$700), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Также, как его предшественник QNAPCrypt-1, он предназначен для шифрования данных на сетевых устройствах QNAP, отсюда его второе название. По сообщениям исследователей, эта программа не имеет прямого отношения к QNAPCrypt-1 (eCh0raix), хотя есть определенное внешнее сходство. 

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: QNAPCrypt-1 (eCh0raix) >> QNAPCrypt-2 (Muhstik)


Изображение — только логотип статьи (муха сидит на замке с шифром)

К зашифрованным файлам добавляется расширение: .muhstik


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Содержание записки о выкупе:
All your files have been encrypted.
You can find the steps to decrypt them in any the following links:
http://13.234.89.185/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375   Could go offline at any time
http://51.38.231.30/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375   Could go offline at any time
Or use TOR link, guaranteed Online 100% of the time:
http://5mngytmdpeyyp6xk.onion/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375   Use TOR browser to access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to
Do NOT remove this file and DO NOT remove last line in this file!
Your ID: 9cc32d5a-8fd4-4ee7-b34b-ed6042b51375

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Вы можете найти шаги, чтобы расшифровать их в любой из следующих ссылок:
http://13.234.89.185/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375 Может быть отключен в любое время
http://51.38.231.30/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375 Может быть отключен в любое время
Или используйте TOR-ссылку, гарантирующую 100% времени онлайн:
http://5mngytmdpeyyp6xk.onion/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375 Используйте TOR-браузер для доступа к веб-сайтам .onion.
https://duckduckgo.com/html?q=tor+browser+how+to
НЕ удаляйте этот файл и НЕ удаляйте последнюю строку в этом файле!
Ваш ID: 9cc32d5a-8fd4-4ee7-b34b-ed6042b51375



Содержание текста на сайте оплаты:
Your files have been encrypted, to recover them you need the decryption software and your private key. You can buy both of them for 0.045 Bitcoin.
Time left for payment:
1 day 17 hours 4 minutes 14 seconds
After this time decryption software cost will be increased to 0.09 BTC.
Find where to get Bitcoin here:
blockchain.info
localbitcoins.com
google.com
Send 0.045 BTC to the following address:
133Y64UxdzREJqYjxXxR3qebbgafpq5FG1
ONLY SUBMIT YOUR EMAIL AFTER YOU SENT THE BTC.
If you submit your email before sending the payment your amount will be instantly doubled!
After payment enter your real email address to get the decryptor software.
Enter a valid email address
Your decrypted demo file is ready to download, open the following link.
http://13.233.53.172/.cache/download/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375-split-IMG_20160608_111553.jpg




Перевод текст ана русский язык:
Ваши файлы были зашифрованы, для их восстановления вам нужна программа для расшифровки и ваш личный ключ. Вы можете купить оба за 0.045 биткойнов.
Оставшееся время для оплаты:
1 день 17 часов 4 минуты 14 секунд
По истечении этого времени стоимость программы для расшифровки будет увеличена до 0.09 BTC.
Здесь можно найти биткойны:
blockchain.info
localbitcoins.com
google.com
Отправьте 0.045 BTC по следующему адресу:
133Y64UxdzREJqYjxXxR3qebbgafpq5FG1
ТОЛЬКО ПРИШЛИТЕ СВОЙ EMAIL ПОСЛЕ ТОГО, КАК ВЫ ОТПРАВИЛИ BTC.
Если вы отправите email перед отправкой платежа, ваша сумма будет мгновенно удвоена!
После оплаты введите свой реальный email-адрес, чтобы получить программу для расшифровки.
Введите корректный email
Ваш расшифрованный демонстрационный файл готов к загрузке, откройте следующую ссылку.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Вредоносный ELF-файл запрограммирован на самоудаление. 

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-адреса: 
xxxx://13.234.89.185/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375
xxxx://51.38.231.30/.unlock/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375
Tor-URL: xxxx://5mngytmdpeyyp6xk.onion/payment/9cc32d5a-8fd4-4ee7-b34b-ed6042b51375
Email: 
BTC: 133Y64UxdzREJqYjxXxR3qebbgafpq5FG1
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы можно расшифровать, если вы можете подключиться к QNAP-устройству 
через Windows или переместить файлы в другое место, куда ПК с Windows может 
получить к ним доступ, то вы можете использовать для расшифровки файлов 
бесплатные расшифровщики от Emsisoft и McAfee.
Если ключа нет в базе данных, то расшифровка невозможна. 
Скачать Emsisoft Decryptor for Muhstik >>
Скачать McAfee Ransomware Recover (Decryption Tool) >>
 Read to links: 
 my Tweet on Twitter + Tweet 
 ID Ransomware (ID as Muhstik)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, Andrew Ivanov (author)
 Michael Gillespie, Lawrence Abrams, quietman7
 Tobias Frömel
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

OmniSphere

OmniSphere Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0.03 BTC (250$), чтобы вернуть файлы. Оригинальное название: OmniSphere ransomware (указано в записке и на сайте вымогателей). На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.29827
BitDefender -> Gen:Heur.Ransom.Imps.3
Kaspersky -> UDS:DangerousObject.Multi.Generic, Trojan.Win32.DelShad.azr
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.VSNW0FJ19
McAfee -> RDN/Generic.gmn

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .omnisphere


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !DECRYPT_MY_FILES_OS.txt

Содержание записки о выкупе:
                                  ## OmniSphere ransomware ##
 ----
 Y0UR PERS0NAL FILES, PHOTOS, DATABASES ARE ENCRYPTED!
 If you want return all files, read this instruction
 ----
 The only way to decrypt your files is to receive the private key and decryption program
 Private decryption key is stored on a secret server and nobody can decrypt your files
 until you pay and obtain the private key
 ----
 To obtain the private key for this computer find special file (unique_decrypt.key
 (You can find this file in any encrypted folder)
 If you found this file please, follow instruction below for DECRYPT ALL YOUR FILES:
 ----
 1. Download Tor Browser https://www.torproject.org/download/ and install.
 2. Open Tor Browser
 3. In Tor Browser open personal page here:
 http://uu6issmbncd3wjkm.onion/46HFJZEAPF3JKNLU
 4. When personal page open, click on browse button and upload unique_decrypt.key file
 5. Follow instruction on personal page
 Note! This page is available via Tor Browser only!

Перевод записки на русский язык:
                              ## OmniSphere ransomware ##
 ----
  ВАШИ ЛИЧНЫЕ файлы, фотографии, базы данных зашифрованы!
  Если вы хотите вернуть все файлы, прочитайте эту инструкцию
  ----
  Единственный способ расшифровать ваши файлы - это получить закрытый ключ и программу дешифрования.
  Закрытый ключ расшифровки хранится на секретном сервере, и никто не сможет расшифровать ваши файлы
  пока вы не заплатите и не получите закрытый ключ
  ----
  Чтобы получить закрытый ключ для этого компьютера, найдите специальный файл (unique_decrypt.key)
  (Вы можете найти этот файл в любой зашифрованной папке)
  Если вы нашли этот файл, пожалуйста, следуйте инструкциям ниже для расшифровки всех ваших файлов:
  ----
  1. Загрузите Tor-браузер https://www.torproject.org/download/ и установите.
  2. Откройте Tor-браузер
  3. В Tor-браузере откройте персональную страницу здесь:
  http://uu6issmbncd3wjkm.onion/46HFJZEAPF3JKNLU
  4. Когда откроется персональная страница, нажмите на кнопку обзора и загрузите файл unique_decrypt.key
  5. Следуйте инструкциям на личной странице

  Внимание! Эта страница доступна только через браузер Tor!

Так выглядит страница на Tor-сайте, предлагающая загрузить уникальный ключ. 
После загрузки уникального ключа дешифрования перед пострадавшим появляется информационная страница с разъяснениями. 



Содержание страницы:
Your personal files are encrypted by OmniSphere ransomware
Dont worry, you can return all your files!
To decrypt your files you need to buy the special software - OmniSphere Decryptor
All transactions should be perfomed via Bitcoin network only 
Files decryptor price is 0.0302 (250 USD)
After 5 days the price of this product will increase up to 0.0603 (500 USD)
The special price is available:
DOUBLED
Purchasing the OmniSphere Decryptor Software
The only payment method accept are Bitcoins. Below is step by step buide for buying bitcoins.
If you need any more help contact our Support or search in google.
1. Create BTC wallet (we recommend Blockchain.com)
2. Buy necessary amount of Bitcoin. (0.0302 BTC)
We recommend the following trusted websites:
LocalBitcoins.com - the fastest and easiest way to buy and sell Bitcoins
CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoin
BTCDirect.eu - the best for Europe
CEX.IO - Visa / Mastercard
3. Send 0.0302 Bitcoin to the Bitcoin address below:
1DC6cbnptWZJKDpfsnd6NQoifQZJA2MsKs
4. Enter your Transaction ID (TXID) and press button
TXID
Received BTC/USD
Date
5. Once the payment is confirmed you can download OmniSphere decryptor from this page and decrypt your files.
We have currently received 0 out of 0.0302 Bitcoin from you

Перевод на русский язык:
Ваши личные файлы зашифрованы OmniSphere Ransomware
Не волнуйтесь, вы можете вернуть все свои файлы!
Для расшифровки ваших файлов вам надо купить специальную программу - OmniSphere Decryptor
Все транзакции должны выполняться только через сеть Bitcoin
Стоимость расшифровщика файлов составляет 0.0302 (250 долларов США).
Через 5 дней цена этого продукта вырастет до 0.0604 (500 долларов США).
Специальная цена доступна:
ВДВОЕ
Приобретение программы OmniSphere Decryptor
Единственный способ оплаты - биткойны. Ниже приведено пошаговое руководство по покупке биткойнов.
Если вам нужна дополнительная помощь, обратитесь в нашу службу поддержки или выполните поиск в Google.
1. Создайте кошелек BTC (мы рекомендуем Blockchain.com)
2. Купите необходимое количество биткойнов. (0.0302 BTC)
Мы рекомендуем следующие надежные сайты:
LocalBitcoins.com - самый быстрый и простой способ покупать и продавать биткойны
CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткойн
BTCDirect.eu - лучшее для Европы
CEX.IO - Visa / Mastercard
3. Отправьте 0.0302 Биткойн на адрес Биткойн ниже:
1DC6cbnptWZJKDpfsnd6NQoifQZJA2MsKs
4. Введите идентификатор транзакции (TXID) и нажмите кнопку
TXID
Получено BTC / USD
Date
5. После подтверждения оплаты вы можете загрузить расшифровщик OmniSphere с этой страницы и расшифровать ваши файлы.
В настоящее время мы получили 0 из 0.0302 биткойнов от вас




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Добавляет файловый маркер "TEST" в конце каждого зашифрованного файла. 


Файлы, связанные с этим Ransomware:
!DECRYPT_MY_FILES_OS.txt
DECRYPT_FILES.lnk
OmniSphere Decryptor
<random>.exe - случайное название вредоносного файла
decryptor.exe - файл дешифровщик от вымогателей

SYSTEM_Key.txt - файл дешифровщик от вымогателей
unique_decrypt.key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
Global\66F0B45886BE6A688AA1B226390B1CE5

Сетевые подключения и связи:
Tor-URL: http://uu6issmbncd3wjkm.onion/46HFJZEAPF3JKNLU
Email: -
BTC: 1DC6cbnptWZJKDpfsnd6NQoifQZJA2MsKs
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2019:
Пост на форуме >>
Скриншот с сайта оплаты




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OmniSphere)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, quietman7, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 29 сентября 2019 г.

Sapphire

Sapphire Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $25 в BTC, чтобы вернуть файлы. Оригинальное название: Sapphire Ransomware. На файле написано: Sapphire Ransomware.exe. 
---
Обнаружения: 
DrWeb -> Trojan.Ransom.671
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.Stupid
Avira (no cloud) -> TR/Ransom.npwej
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FG
Kaspersky -> HEUR:Trojan.MSIL.Diztakun.gen
Malwarebytes -> Ransom.Sapphire
Rising -> Trojan.Filecoder!8.68 (TFE:C:fiL***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0RIT20
---

© Генеалогия: Stupid >> Sapphire

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sapphire


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 


 

Содержание записки о выкупе: 
YOUR FILES HAVE BEEN ENCRYPTED!!
Your personal photos, documents, music and videos have been encrypted by Sapphire! I'm in a good mood today and decided that I will not delete your files. But rather hold on to them.
To decrypt them You need to pay me $25 in Bitcoins to get the key.
Your files will remain what they are right now. and they will stay that way until you decrypt your files.
Thank you
Bitcoin Address: 1399Zu6zdH3jUG9XakPKXmi2AWNwvhGAyh
Decrypt: [    ]  [DECRYPT]  

Перевод записки на русский язык: 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!
Ваши личные фото, документы, музыка и видео зашифрованы Sapphire! Я сегодня в хорошем настроении и решил, что не буду удалять ваши файлы. Но лучше держись за них.
Для их расшифровки вам надо заплатить мне $25 в биткойнах за ключ.
Ваши файлы останутся такими, как сейчас. и они останутся такими, пока вы не расшифруете свои файлы.
Спасибо
Биткойн-адрес: 1399Zu6zdH3jUG9XakPKXmi2AWNwvhGAyh
Расшифровать:  [    ] [РАСШИФРОВАТЬ]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Код дешифрования: sapphire_is_a_good_color

➤ Отключает через реестр Windows Диспетчер задач (Task Manager). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware: 
Sapphire Ransomware.exe - название вредоносного файла
Sapphire Ransomware.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\Sapphire Ransomware.exe
C:\Users\Brayden D\source\repos\Sapphire Ransomware\Sapphire Ransomware\obj\Debug\Sapphire Ransomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC: 1399Zu6zdH3jUG9XakPKXmi2AWNwvhGAyh
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 12 февраля 2021:
Расширение: .sapphire
➤ Код дешифрования: Dr WeSt
Файл: Sapphire Ransomware.exe
Результаты анализов: VT + TG
*



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + myTweet
ID Ransomware (ID as Stupid)
Write-up, Topic of Support
Thanks:
Michael Gillespie, MalwareHunterTeam
Andrew Ivanov (author)
dnwls0719


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 28 сентября 2019 г.

BWall

BWall Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096, а затем требует выкуп в 0,018 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender -> Gen:Heur.Ransom.Imps.3
Avira (no cloud) -> TR/Ransom.fsmez
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.BWALL.THICOAIA

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bwall или .bw

Фактически используется составное расширение, включающее набор символов. 
Пример зашифрованных файлов:
config.xml.kl3sfeyr4zr2hytlakd56g==.bwall
config2.xml.axvyvu1kxlk9hzb1jjfrlw==.bwall

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце сентября 2019 г. Вероятно, был создан еще в июле 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README-BW-[4 HEX CHARACTERS].TXT

Пример: README-BW-gffL.txt

Содержание записки о выкупе:
Your files are encrypted!
Your files (documents, pictures, audio files, source codes) were encrypted with combination of AES-256 and RSA-4096 cryptographic algorithms. Your files will not be deccryptable, without our special decryption service; futhermore, there is an condition that will leave your files encrypted forever if it's not met:
there is a deadline to pay for your data! If that is exceeded, we will not let you decrypt your data (we will not offer any kind of service), you have exactly two weeks to decrypt your data! no recovery tool will help you, such as Recuva, and no Microsoft
feature will help (Shadow Copies). Files with ".bw" extension are encrypted, verify.
The current date time was inserted into the ID, and we can guess every patching attempt.
End of the deadline: HU-HU-HAI
To pay for your files, follow these steps:
1) Set-up a Bitcoin account, we cannot help you in that, but you can search on Google or similar for "bitcoin get started' or "bitcoin help", you can skip this step, if you have already one; we also accept Monero as currency, and we'll give a discount if an anonymous currency like that is used (20%). Do the same research to set-up a Monero account if you don't have one, as well.
2) Send the following amount of money (0,018 BTC) to the following Bitcoin address, and keep the TXID (payment \ transaction id) for later:
1P7VBy5YLBRxNiTjBCgUEzyryzEcfdQWGD
Monero address, for "getting a discount":
44NMuci8TSUJ4TBafyJpQDAHjTBStC0bXWAVmB3im:iaCZfGX0tyfZ5LW83vqYdHKM5DG3i3aFsw7fjnc8ga93Bk6bWAuHa
3) After, send this file and the TXID of before to the following e-mail address, with the subject "Decryption" and with a e-mail address that can receive e-mails at every moment; don't use temporary services, we will reply after six hours at least:
dawndec001@protonmail.com
4) Wait, you will get an e-mail with even more istructions, and, the decryptor.
Don't rename, modify, or try to decrypt your files without our special service.
Don't modify this text file! Don't make decryption impossible even for us.
ID: KILL-ID
Don't modify the ID! Remember, any bad words to our side will make your address banned!
Also, please, don't try to patch or decompile the decryptor once you get it, it doesn't contain the private key of the encryption algorithm.

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваши файлы (документы, изображения, аудиофайлы, исходные коды) были зашифрованы с криптографическими алгоритмами AES-256 и RSA-4096. Ваши файлы не будут расшифрованы без нашего специального сервиса дешифрования; более того, есть условие, что ваши файлы останутся навсегда зашифрованными, если оно не будет выполнено:
Установлено время для оплаты ваших данных! Если время истечет, мы не позволим вам расшифровать ваши данные (мы не будем предлагать какие-либо услуги), у вас есть ровно две недели для расшифровки ваших данных! Вам не помогут никакие инструменты восстановления, такие как Recuva, и не Microsoft
Функция может помочь (теневые копии). Файлы с расширением .bw зашифрованы, проверьте.
Текущее время даты было вставлено в ID, и мы можем угадать каждую попытку исправления.
Конец крайнего срока: HU-HU-HAI
Чтобы оплатить ваши файлы, выполните следующие действия:
1) Создайте учетную запись Bitcoin, мы не можем вам в этом помочь, но вы можете выполнить поиск в Google или аналогичном слова "bitcoin get started" или bitcoin get started, вы можете пропустить этот шаг, если он у вас уже есть, мы также Примите Monero в качестве валюты, и мы дадим скидку, если используется анонимная валюта (20%). Сделайте то же самое исследование, чтобы настроить учетную запись Monero, если у вас ее еще нет.
2) Отправьте следующую сумму денег (0,018 BTC) на следующий биткойн-адрес и оставьте TXID (идентификатор платежа / транзакции) для дальнейшего использования:
1P7VBy5YLBRxNiTjBCgUEzyryzEcfdQWGD
Адрес Monero, для "получения скидки":
44NMuci8TSUJ4TBafyJpQDAHjTBStC0bXWAVmB3im: iaCZfGX0tyfZ5LW83vqYdHKM5DG3i3aFsw7fjnc8ga93Bk6bWAuHa
3) После этого отправьте этот файл и TXID перед на следующий адрес электронной почты, с темой «Расшифровка» и с адресом электронной почты, который может получать сообщения электронной почты в любой момент; не пользуйтесь временными услугами, мы ответим как минимум через шесть часов:
dawndec001@protonmail.com
4) Подождите, вы получите email с еще большим количеством инструкций и расшифровщика.
Не переименовывайте, не изменяйте и не пытайтесь расшифровать ваши файлы без нашего специального сервиса.
Не изменяйте этот текстовый файл! Не делайте расшифровку невозможной даже для нас.
ID: KILL-ID
Не изменяйте идентификатор! Помните, что любые плохие слова в нашу сторону сделают ваш адрес забаненным!
Также, пожалуйста, не пытайтесь исправлять или декомпилировать дешифратор, как только вы его получите, он не содержит закрытого ключа алгоритма шифрования.

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола.

Содержание текста на экране:
Your files are encrypted.
There is no way to recover them. To get details about what happened and to get details about how to pay, please, search for the following file:
"README-BW-[4 HEX CHARACTERS].TXT", present in every folder. Do it as faster as possible; a timeout was set.
Don't rename, modify \ try to decrypt your files; without our decryption service, every attempt will fail.

Перевод текста на русский язык:
Ваши файлы зашифрованы.
Нет способа их восстановить. Чтобы получить подробную информацию о том, что произошло, и узнать, как оплатить, пожалуйста, найдите следующий файл:
"README-BW-[4 HEX CHARACTERS].TXT", присутствует в каждой папке. Сделайте это как можно быстрее; тайм-аут настроен.
Не переименовывайте, не изменяйте \ не пытайтесь расшифровать ваши файлы; без нашей службы дешифрования каждая попытка потерпит неудачу.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-BW-[4 HEX CHARACTERS].TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dawndec001@protonmail.com
BTC: 1P7VBy5YLBRxNiTjBCgUEzyryzEcfdQWGD
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Список шифровальщиков от одного разработчика: 
Viagra Ransomware
BWall Ransomware
HildaCrypt (v.1, 1.1, 1.2) Ransomware
HildaCrypt-Stahp Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *