Is Ransomware
EvaRichter Ransomware
(фейк-шифровальщик, деструктор) (первоисточник)
Translation into English
Обнаружения:
DrWeb -> Trojan.Encoder.29521
BitDefender -> Trojan.GenericKD.32440367
Symantec -> Trojan.Gen.MBT
Avira (no cloud) -> TR/AD.MalwareCrypter.lxp
Kaspersky -> Trojan.Win32.Yakes.zanc
Tencent -> Win32.Trojan.Raas.Auto
© Генеалогия: Ordinypt >> Is (EvaRichter)
Изображение — только логотип статьи "Is Eva Richter" :)
К фейк-зашифрованным файлам добавляется случайное расширение: .<random{5}>
Например:
.1Alba
.wkaTs
.Jddkt
Это расширение потом используется в названии записки о выкупе.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую полоивну августа 2019 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру. Наиболее активен в Германии и соседних странах.
Записка с требованием выкупа называется по шаблону: <random{5}>_how_to_decrypt.txt
Примеры:
1Alba_how_to_decrypt.txt
wkaTs_how_to_decrypt.txt
Содержание записки о выкупе:
============================ WELCOME ============================
============== DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAS BEEN RECOVERED! ==============
All of your files have been encrypted and now have the file extension: .1Alba
The only way to recover your files is to purchase our decrypter software, which will only work for your PC.
For further instructions how to decrypt your files, please download the TOR Browser
=================================================
=======
1. Download Tor Browser from: https://www.torproject.org
2. Install and open TOR Browser
3. Navigate to the following url: http://2u6gynsdszbd7ey3.onion/
4. Enter your access code
Your access code:
VVNFUi1QQw==|YWRtaW4=|MUFsYmE=|9UIsLJkGUDPqAQ***
Copy & Paste it into the access code field
========================================================
Warning:
DO NOT MODIFY ANY OF THE ENCRYPTED FILES OR TRY OTHERWISE TO DECRYPT THEM YOURSELF
YOU RISK DAMAGING THE FILES AND YOU WILL LOOSE YOUR FILES FOREVER!
============================ ДОБРО ПОЖАЛОВАТЬ ===================== =======
============== НЕ УДАЛЯЙТЕ ДАННЫЙ ФАЙЛ ПОКА ВСЕ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ! ==============
Все ваши файлы были зашифрованы и теперь имеют расширение: .1Alba
Единственный способ восстановить ваши файлы - это приобрести нашу программу для дешифрования, которое будет работать только на вашем ПК.
Для дальнейших инструкций о том, как расшифровать ваши файлы, пожалуйста, скачайте TOR браузер
=================================================
=======
1. Загрузите Tor браузер с: https://www.torproject.org
2. Установите и откройте TOR браузер
3. Перейдите по следующему адресу: http://2u6gynsdszbd7ey3.onion/
4. Введите свой код доступа
Ваш код доступа:
VVNFUi1QQw == | YWRtaW4 = | MUFsYmE = | 9UIsLJkGUDPqAQ ***
Скопируйте и вставьте его в поле кода доступа
========================================================
Предупреждение:
НЕ ИЗМЕНЯЙТЕ НИ ОДИН ИЗ ЗАШИФРОВАННЫХ ФАЙЛОВ И НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ИХ САМОСТОЯТЕЛЬНО.
ВЫ РИСКУЕТЕ ПОВРЕДИТЬ ФАЙЛЫ И ПОТЕРЯЕТЕ ИХ НАВСЕГДА!
---
Другим информатором жертвы является изображение, заменяющее обои Рабочего стола. Текст краткий.
Подробная информация по оплате представлена на Tor-сайте вымогателей:
Time left until private key is destroyed: ***
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer. The price for the software is $1,500. Payment can be made in Bitcoin only.
What happens when the timer runs out?
The private key that is required to recover your files will be deleted from our servers and your files will be lost forever!
What guarantees do I have?
There's no guarantees, but this is our business, it would be bad for our business if we do not stick to our word. We assure you, you will be able to decrypt all of your files after payment. The only guarantee we give you is that you WILL NOT be able to recover your files without our help.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin. Many of our customers have reported these sites to be fast and reliable:
Coinmama - https://www.coinmama.com
Bitpanda - https://www.bitpanda.com
Payment information
Amount:
0.1473766 BTC
Address:
1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
The decrypter will become available for download once your transfer has received 2 confirmations on the Bitcoin network.
Оставшееся время до уничтожения закрытого ключа: ***
Все ваши файлы были зашифрованы
Ваш компьютер был заражен вирусом-вымогателем. Ваши файлы были зашифрованы и вы не сможете расшифровать их без нашей помощи.
Что я могу сделать, чтобы вернуть мои файлы?
Вы можете купить нашу специальную программу для расшифровки, эта программа позволит вам восстановить все ваши данные и удалить вымогателей с вашего компьютера. Цена на программу составляет 1500 долларов. Оплата может быть произведена только в биткойнах.
Что произойдет, когда закончится отсчет таймера?
Закрытый ключ, нужный для восстановления ваших файлов, будет удален с наших серверов, и ваши файлы будут потеряны навсегда!
Какие гарантии у меня есть?
Нет никаких гарантий, но это наш бизнес, будет плохо для нашего бизнеса, если мы не будем придерживаться своего слова. Уверяем вас, вы сможете расшифровать все свои файлы после оплаты. Единственная гарантия, которую мы вам даем, заключается в том, что вы НЕ сможете восстановить ваши файлы без нашей помощи.
Как оплатить, где взять биткойны?
Покупка Биткойнов зависист от страны, вам лучше всего сделать быстрый поиск в Google, чтобы узнать, как купить Биткойны. Многие из наших клиентов сообщили, что эти сайты работают быстро и надежно:
Coinmama - https://www.coinmama.com
Bitpanda - https://www.bitpanda.com
Платежная информация
Количество:
0,1473766 BTC
Адрес:
1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
Дешифровщик станет доступен для загрузки после того, как ваш перевод получит 2 подтверждения в сети Биткойн.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Список файловых расширений, подвергающихся шифрованию:
Все файлы популярных форматов, кроме тех, что в белом списке.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Белый список расширений:
.adv, .ADV, .ani, .ANI, .bat, .BAT, .bin, .BIN, .cab, .CAB, .cmd, .CMD, .com, .COM, .cpl, .CPL, .cur, .CUR, .deskthemepack, .DESKTHEMEPACK, .diagcab, .DIAGCAB, .diagcfg, .DIAGCFG, .diagpkg, .DIAGPKG, .dll, .DLL, .drv, .DRV, .exe, .EXE, .hlp, .HLP, .hta, .HTA, .icl, .ICL, .icns, .ICNS, .ico, .ICO, .ics, .ICS, .idx, .IDX, .ldf, .lnk, .LNK, .lock, .LOCK, .mod, .MOD, .mpa, .MPA, .msc, .MSC, .msi, .MSI, .msp, .MSP, .msstyles, .MSSTYLES, .msu, .MSU, .nls, .NLS, .nomedia, .NOMEDIA, .ocx, .OCX, .prf, .PRF, .psl, .PSL, .rom, .ROM, .rtp, .RTP, .scr, .SCR, .shs, .SHS, .spl, .SPL, .sys, .SYS, .theme, .THEME, .themepack, .THEMEPACK, .wpx, .WPX (92 расширения с дублями в верхнем регистре).
Белый список файлов:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, bootmgr, bootnxt, thumbs.db
Белый список директорий (папок):
windows
recycle.bin
mozilla
boot
application data
appdata
program files
program files (x86)
programme
programme (x86)
programdata
perflogs
intel
msocache
system volume information
Файлы, связанные с этим Ransomware:
Eva Richter Bewerbung und Lebenslauf.pdf.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: http://2u6gynsdszbd7ey3.onion/
Email: -
BTC (генерируется для каждой жертвы):
В нашем примере: 1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myTweet + other Tweet ID Ransomware (ID as ***) Write-up, Write-up, Topic of Support *
Thanks: Tomas Meskauskas (PCrisk), Emmanuel_ADC-Soft Andrew Ivanov (author) Lawrence Abrams and others to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.