PhoneNumber

PhoneNumber Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные организаций и учреждений, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: другие Ransomware, направленные против организаций >> PhoneNumber

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение, представляющее собой телефон пострадавшей организации или образовательного учреждения в США, например: 
.619-300-6500

Таким образом, шаблон расширения: .<victim_official_phone>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: !_<victim_official_name>_README_!.txt
В названии записки используется аббревиатура пострадавшей организации (учреждения) или название ПК. 
Например: 
!_ABCDE_README_!.txt
!_SDCCD_README_!.txt

Содержание записки о выкупе:
Hello, San Diego ***!
Check this message in details and contact someone from IT department.
All your files are encrypted with the strongest millitary algorithms (4096 bit RSA and 256 bit AES).
Do not modify or rename encrypted files - this may cause decryption failure.
If you want to restore your files you will need to make the payment.
You can send us an encrypted file (about 300KB) and we will decrypt it for free, so you have no doubts in possibility to restore the files any time.
Files should not contain sensitive information (databases, backups, large documents, etc).
The rest of the data will be available to you after the full payment.
Contact us only if you are authorized to make a deal from the whole affected network.
Don't contact us if you are not a such person.
Use english when contacting us.
Email: abcde@protonmail.com
If you don't get an answer within one day download BitMessage software.
Homelink: https://bitmessage.org
Identity: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx

Перевод записки на русский язык:
Привет, Сан-Диего ***!
Проверьте это сообщение в деталях и свяжитесь с кем-то из ИТ-отдела.
Все ваши файлы зашифрованы с использованием самых надежных военных алгоритмов (4096 бит RSA и 256 бит AES).
Не изменяйте и не переименовывайте зашифрованные файлы - это может привести к ошибке расшифровки.
Если вы хотите восстановить ваши файлы, вам нужно будет произвести оплату.
Вы можете отправить нам зашифрованный файл (около 300 КБ), и мы бесплатно расшифруем его, поэтому не сомневайтесь в возможности восстановления файлов в любое время.
Файлы не должны содержать конфиденциальную информацию (базы данных, резервные копии, большие документы и т. Д.).
Остальные данные будут вам доступны после полной оплаты.
Свяжитесь с нами, только если вы уполномочены совершать сделки со всей затронутой сетью.
Не связывайтесь с нами, если вы не такой человек.
Используйте английский при обращении к нам.
Email: abcde@protonmail.com
Если вы не получили ответ в течение одного дня, загрузите программное обеспечение BitMessage.
Домашняя ссылка: https://bitmessage.org
Идентификация: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx

---
Шаблон email-адреса пострадавших: <victim_official_name>@protonmail.com

Email-адрес представляет собой аббревиатуру пострадавшей организации и таким образом создается вымогателями для каждой пострадавшей организации. 
Например: 
abcde@@protonmail.com - A* B* C* D* E* аббревиатура из первых пяти букв английского алфавита
sdccd@protonmail.com - San Diego C* C* D*

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!_SDCCD_README_!.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email для пострадавших: sdccd@protonmail.com
BitMessage вымогателей: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as PhoneNumber)
 Write-up, Topic of Support
 * 

 Thanks: 
 quietman7, Jsage, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.