WannaCryFake Ransomware
WannaFaker Ransomware
WannaCryGeneric:
Snc, BlackRoot (BlackRouter), CCC, AWT, WannaScream (DarkCrypt), Harma, FOB, ADHUBLLKA, NORD, H@RM@, Bang
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ransomware Snc. На файле написано: Windows Defender.exe. Разработчик скрывается под ником: jack sparrow.
Обнаружения:
DrWeb -> Trojan.Encoder.30061, Trojan.Encoder.30462, Trojan.Encoder.30486
BitDefender -> Generic.Ransom.WCryG.3D9A4E8B, Generic.Ransom.WCryG.B4A5A896
Avira (no cloud) -> TR/Crypren.rbpfo, TR/Crypren.ykcxt
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UX, MSIL/Filecoder.WannaCryFake.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Symantec -> Trojan.Gen.MBT, Trojan.Gen.2, ML.Attribute.HighConfidence
© Генеалогия: Sepsis + DCRTR-WDM + Phobos >> WannaCry Fake, WannaCryGeneric > Snc, AWT, WannaScream, Harma, FOB, ADHUBLLKA, NORD
Генеалогия подтверждена сервисом Intezer >>
Изображение — только логотип статьи
К зашифрованным файлам добавляется расширение: .WannaCry
Фактически используется составное расширение: .[BFEBFBFF000906E9][recoverydata54@protonmail.com].WannaCry
При этом используется шаблон: .[<id>][recoverydata54@protonmail.com].WannaCry
Примеры зашифрованных файлов:
Photo_001.jpg.[BFEBFBFF000906E9][recoverydata54@protonmail.com].WannaCry
desktop.ini.[1F8BFBFF000506E3][recoverydata54@protonmail.com].WannaCry
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Этимология названия:
Оригинальное название в записке не указано. Для идентификации в ID Ransomware было использовано расширение, добавляемое к файлам. ОНо было использовано для названия WannaCry Fake (т.е. фальшивый WannaCry). На исполняемом файле написано Windows Defender.exe, т.к. образом это также фальшивый Защитник Windows — Fake Windows Defender.
Активность этого крипто-вымогателя пришлась на середину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
info.txt
info.hta
PLEASE SEND THIS CODE WITH YOUR EMAIL: XXXXXXXXXXXX
To decrypt them send e - mail to this address: recoverydata54@protonmail.com
Also you can use Telegram ID: @data54
To decrypt them send e - mail to this address: recoverydata54@protonmail.com
Also you can use Telegram ID: @data54
Перевод txt-записки на русский язык:
ПОЖАЛУЙСТА, ПРИШЛИТЕ ЭТОТ КОД С ВАШИМ EMAIL: XXXXXXXXXXXX
Для расшифровки пришлите email на адрес: recoverydata54@protonmail.com
Также можете использовать Telegram ID: @data54
Другая записка в HTA-формате очень похожа на те, что используются в DCRTR-WDM Ransomware и Phobos Ransomware. Видимо вымогатели хотели ввести пострадавших в заблуждение и напугать этими вымогателями, которые в данное время не поддаются расшифровке.
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail recoverydata54@protonmail.com
also You can use telegram ID:@data54
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click "Add"
In the "Protocol" field, select XMPP
In "Username" - come up with any name
In the field "domain" - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick "Create account"
Click add
If you selected "domain" - exploit.im, then a new window should appear in which you will need to re-enter your data:
User password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe delete shadows /all /quiet
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3dm.max, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx. plb, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbf, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg, .dxb, .dxf, .dxf, .dxg, .easm, .edb, .efx, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppam, .ppj, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp (539 расширений без дублей).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Windows Defender.exe
Windows Defender.pdb
info.txt
info.hta
<random>.exe - случайное название вредоносного файла
Ransomware Snc.pdb
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\jack sparrow\Desktop\speed\ME\Banner\WpfApp1\obj\Release\Ransomware Snc.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: recoverydata54@protonmail.com
BTC: -
Telegram: @data54
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
Файлы зашифрованы с расширением .WannaCry - сентября 2019
Файлы зашифрованы с расширением .Snc - октябрь 2019
Файлы зашифрованы с расширением .BlackRoot - ноябрь 2019
Файлы зашифрованы с расширением .ccc - ноябрь 2019
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3dm.max, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx. plb, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbf, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg, .dxb, .dxf, .dxf, .dxg, .easm, .edb, .efx, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppam, .ppj, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp (539 расширений без дублей).
Файлы, связанные с этим Ransomware:
Windows Defender.exe
Windows Defender.pdb
info.txt
info.hta
<random>.exe - случайное название вредоносного файла
Ransomware Snc.pdb
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\jack sparrow\Desktop\speed\ME\Banner\WpfApp1\obj\Release\Ransomware Snc.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: recoverydata54@protonmail.com
BTC: -
Telegram: @data54
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Файлы зашифрованы с расширением .WannaCry - сентября 2019
Файлы зашифрованы с расширением .Snc - октябрь 2019
Файлы зашифрованы с расширением .BlackRoot - ноябрь 2019
Файлы зашифрованы с расширением .ccc - ноябрь 2019
Файлы зашифрованы с расширением .AWT - январь 2020
Файлы зашифрованы с расширением .WannaScream - январь 2020
Файлы зашифрованы с расширением .harma - январь 2020
Файлы зашифрованы с расширением .WannaScream - январь 2020
Файлы зашифрованы с расширением .harma - январь 2020
Файлы зашифрованы с расширением .FOB - май 2020
Файлы зашифрованы с расширением .ADHUBLLKA - август 2020
Файлы зашифрованы с расширением .NORD - сентябрь-октябрь 2020
Файлы зашифрованы с расширением .H@RM@ - октябрь 2020
Файлы зашифрованы с расширением .Cns - октябрь 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 8 октября 2019:
Топик на форуме >>
Расширение: .Snc
Пример зашифрованного файла: Photo_001.jpg.[BFEBFBFF000906EA][recoverydata52@protonmail.com].Snc
Email: recoverydata52@protonmail.com
Telegram: @book545
Записка: ReadMe.txt
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools Decryption fee will Be Double
After Test You Will Get Decryption Tool
Send This Code In Email : BFEBFBFF000906E9
Contact Us Via Email: recoverydata54@protonmail.com
Contact Us Via Telegram: @book545
---
Перевод записки на русский язык:Все ваши файлы зашифрованы с алгоритмом криптографии высокого уровня
Если вам нужны ваши файлы, вы должны заплатить за расшифровку
Вы можете отправить файл 1MB для тест-расшифровки, чтобы убедиться, что ваши файлы могут быть расшифрованы
Через 48 часов, если вы не напишите нам или используете сторонние приложения или инструменты восстановления, плата за расшифровку будет удвоена
После теста вы получите инструмент расшифровки
Отправьте этот код по email: BFEBFBFF000906E9
Свяжитесь с нами по email: recoverydata54@protonmail.com
Свяжитесь с нами по Telegram: @book545
Обновление от 10 октября 2019:
Расширение: .Snc
Записка: ReadMe.txt
[+] Your All Files Encrypted With High level Cryptography Algorithm
[+] If You Need Your Files You Should Pay For Decryption
[+] You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
[-] After 48 hour If You Dont contact us or use 3rd party applications or recovery tools,Decryption fee will Be Double
[+] After Test You Will Get Decryption Tool
[+] Send This Code In Email : 1A19147C
[+] Contact Us Via Email: recovery94@protonmail.com
Обновление от 13 ноября 2019:
Пост на форуме >>
Расширение: .BlackRoot
Составное расширение (шаблон): .[<ID>].[encrypter@cock.li].BlackRoot
Записка: ReadMe.txt
Email: encrypter@cock.li
Оригинальное название и путь проекта: C:\Users\Pct\Desktop\BlackRoot (2)0\BlackRoot\BlackRoot\Banner\WpfApp1\obj\Release\BlackRouter.pdb
Файл: Runtime Broker.exe
Результаты анализов: VT + IA
---
➤ Обнаружения:
DrWeb -> Trojan.Ransom.687
BitDefender -> Generic.Ransom.WCryG.8FC3BFBB
Avira (no cloud) -> TR/Ransom.sejzz
ESET-NOD32 -> A Variant Of MSIL/Filecoder.WannaCryFake.B
TrendMicro -> Ransom.MSIL.FILELOCK.SM
Обновление от 30 ноября 2019:
Топик на форуме >>
Расширение: .ccc
Составное расширение (шаблон): .[XXXXXXXX][encrypter@cock.li].ccc
Составное расширение (пример): .[E87042BE][encrypter@cock.li].ccc
Записка: ReadMe.txt
Записка: ReadMe.txt
Email: encrypter@cock.li, encrypter@keemail.me
[+] All Your Files Have Been Encrypted [+]
[-] Do You Really Want To Restore Your Files?
[+] Write Us To The E-Mail : encrypter@cock.li
[+] If you did not get any response until 24 hours later,Write to this E-Mail : encrypter@keemail.me
[-] Write Your Unique-ID In The Title Of Your Message.
[+] Unique-ID : E87042BE
[-] You Have To Pay For Decryption In Bitcoins.
[-] The Price Depends On How Fast You Write To Us.
[-] After Payment We Will Send You The Decryption Tool
That Will Decrypt All Your Files.
_______________________________________________________
[+] Free Decryption As Guarantee [+]
[-] Before Paying You Can Send Us Up To 5 Files For
Free Decryption, The Total Size Of Files Must Bee Less
Than 10MB, (Non Archived) And Files Should Not Contain
Valuable Information (Databases, Backups, Large Excel
-Sheets, Etc).
_______________________________________________________
[+] How To Obtain Bitcoins [+]
[-] The Easiest Way To Buy Bitcoins Is LocalBitcoins
Site : https://localbitcoins.com/buy_bitcoins
You Have To Register, Click 'Buy Bitcoins', And Select
The Seller By Payment Method And Price.
[-] Also You Can Find Other Places To Buy Bitcoins And
Beginners Guide Here:
http://coindesk.com/information/how-can-i-buy-bitcoins
_______________________________________________________
[+] Attention! [+]
[-] Do Not Rename Encrypted Files.
[-] Do Not Try To Decrypt Your Data Using Third Party
-Software, It May Cause Permanent Data Loss.
[-] Decryption Of Your Files With The Help Of Third
Parties May Cause Increased Price (They Add Their Fee
To Our) Or You Can Become A Victim Of A Scam.
_____________________ccc Ransomware_______________________
Обновление от 9 декабря 2019:
Пост в Твиттере >>
Самоназвание этого варианта: AWT ransomware
Расширение: .Snc
Составное расширение: .[1F8BFBFF000506E3][recoverydata52@protonmail.com].Snc
Email: recoverydata52@protonmail.com
Email: Fata54@cock.li, Fata52@cock.li
Записка: ReadMe.txt
Файлы: Key.txt, W.jpg, wallpaper.bmp
—=== Welcome Again =---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has expansion AWT
By the way, everything is possible to recover (restore), but you need to follow our
instructions, otherwise, you cant return your data (never).
[+] What guarantees? [+]
Its iust a business, we absolutely do not care about you and your deals, except getting benefits, if we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should send us Email, we decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. in practise - time is much more valuable than money.
[+] WHAT SHOULD I DO NOW ? [+]
IMPORTANT : Send this id in subject of you email : ***
1) [Recommended] You must email us
Email address : Fata54@cock.li
2)If you did not receive any response in 24 hours , contact us via second email address
second email address : Fata52@cock.li
-=== AWT ransomware ===—
Обновление от 2 января 2020:
Пост в Твиттере >>
Самоназвание этого варианта: AWT ransomware
Идентификация в "ID Ransomware" как AWT.
Расширение: .AWT
Расширение (пример): .[***][getdataback22@protonmail.com].AWT
Расширение (шаблон): .[<id>][getdataback22@protonmail.com].AWT
Записка: ReadMe.txt
Новый вариант записки был заимствован из SpartCrypt Ransomware
Email: getdataback22@protonmail.com
Файл: Runtime Broker.exe
---
➤ Пост Майкла в Твиттере, подтверждающий родство вариантов >>
Ok, I took an in-depth look at all of the samples. They actually are all related. After deobfuscating, some of them were using different methods that made things look different before... The keygens are the only real difference between them all.
Перевод на русский:
OK, я подробно изучил все образцы. Они точно все связаны. После деобфускации некоторые из них используют разные методы, из-за которых результат выглядит иначе... Кейгены - единственное реальное различие между ними.
Пост в Твиттере >>
Самоназвание этого варианта: Snc ransomware
Расширение: .Snc
Расширение (пример): .[C4BA3647][recover13@protonmail.com].Snc
Расширение (шаблон): .[<id>][recover13@protonmail.com].Snc
Записка: ReadMe.txt
Новый вариант текстовой записки был заимствован из SpartCrypt Ransomware
Текст в записке теперь дублируется в экране блокировки, который заимствован у Zeropadypt-Ouroboros Ransomware.
Email: recover13@protonmail.com, recoverdata13@protonmail.com
Telegram: @recover13
Файлы: Runtime Broker.exe, Ransomware Snc.exe
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30486
BitDefender -> Gen:Variant.MSILPerseus.198553
Malwarebytes -> Ransom.FakeWannaCry.MSIL
ESET-NOD32 -> A Variant Of MSIL/Filecoder.WannaCryFace.B
[+] All Your Files Have Been Encrypted [+]
[-] Do You Really Want To Restore Your Files?
[+] Write Us To The E-Mail : recover13@protonmail.com
[+] If you did not get any response until 24 hours later,Write to this E-Mail : recoverdata13@protonmail.com
[+] You can use Telegram to send message : @recover13
[-] Write Your Unique-ID In The Title Of Your Message.
[+] Unique-ID : C4BA3647
[-] You Have To Pay For Decryption In Bitcoins.
[-] The Price Depends On How Fast You Write To Us.
[-] After Payment We Will Send You The Decryption Tool
That Will Decrypt All Your Files.
_______________________________________________________
[+] Free Decryption As Guarantee [+]
[-] Before Paying You Can Send Us Up To 5 Files For
Free Decryption, The Total Size Of Files Must Bee Less
Than 10MB, (Non Archived) And Files Should Not Contain
Valuable Information (Databases, Backups, Large Excel
-Sheets, Etc).
_______________________________________________________
[+] How To Obtain Bitcoins [+]
[-] The Easiest Way To Buy Bitcoins Is LocalBitcoins
Site : https://localbitcoins.com/buy_bitcoins
You Have To Register, Click 'Buy Bitcoins', And Select
The Seller By Payment Method And Price.
[-] Also You Can Find Other Places To Buy Bitcoins And
Beginners Guide Here:
http://coindesk.com/information/how-can-i-buy-bitcoins
_______________________________________________________
[+] Attention! [+]
[-] Do Not Rename Encrypted Files.
[-] Do Not Try To Decrypt Your Data Using Third Party
-Software, It May Cause Permanent Data Loss.
[-] Decryption Of Your Files With The Help Of Third
Parties May Cause Increased Price (They Add Their Fee
To Our) Or You Can Become A Victim Of A Scam.
_____________________Snc_Ransomware_______________________
Обновление от 8 января 2020:
Пост в Твиттере >>
Пост в Твитере >>
Самоназвание: DARKCRYPT Ransomware и Wanna Scream
Расширение: .WannaScream
Пример зашифрованного файла: Photo_001.jpg.[Filemgr@tutanota.com][XXXXXXXX].WannaScream
Email: Filemgr@tutanota.com, Cryptor6@tutanota.com
URL: xxxx://recoverydata.merehosting.com
Записка: README.txt, WannaScream.hta
Файл проекта: C:\Users\Pct\Desktop\Wanna Scream\Wanna Scream\Wanna Scream\Wanna Scream\Wanna Scream\obj\Release\Wanna Scream.pdb
Файл: Wanna Scream.exe
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30462
BitDefender -> Generic.Ransom.WCryG.30A35D4E
Malwarebytes -> Ransom.DarkCrypt
DrWeb -> Trojan.Encoder.30462
BitDefender -> Generic.Ransom.WCryG.30A35D4E
Malwarebytes -> Ransom.DarkCrypt
Пост в Твиттере >>
Расширение: .harma
Пример зашифрованного файла: Photo_001.jpg.[<email>][XXXXXXXX].harma
Email: encryptor2020@protonmail.com, encryptorl996@protonmail.com
Записка: ReadMe.txt
HTTP-запросы:
xxxx://icanhazip.com/ - определение IP
xxxx://recoverydata.merehosting.com/db
Атакующий: mehrdad
Файл: Runtime Broker.exe
Результаты анализов: VT
Обновление от 31 мая 2020:
Тема на форуме >>
Расширение: .FOB
Обновление от 23 августа 2020:
Расширение: .ADHUBLLKA
Топик на форуме >>
В данном случае WannaFaker взял у 'Gandcrab 5.1' текст записки, заголовок в тексте и код внизу записки. У так называемого 'ADHUBLLKA' он взял название записки, расширение и написал его в записке. Может быть еще что-то. Я не стал смотреть дальше и сравнивать.
Записка: read_me.txt
Email: -
Tor-URL: hxxx://alcx6zctcmhmn3kx.onion/?d756e65476c65746e49656e69e19129e530b312
---= GANDCRAB V5.1 =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .ADHUBLLKA
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
0. Download Tor browser - https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser: http://alcx6zctcmhmn3kx.onion/?d756e65476c65746e49656e69e19129e530b312
4. Follow the instructions on this page
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
***
---END GANDCRAB KEY---
---BEGIN PC DATA---
***
---END PC DATA---
Обновление от 1 сентября 2020:
Идентификация в IDR: Wanna Scream
Расширение: .NORD
Составно ерасширение: .[12E53B0B[rescueme55@protonmail.com].NORD
Записки: info.hta, ReadMe.txt
Email: rescueme55@protonmail.com, nordrescue@protonmail.com
Telegram: @Book545
➤ Содержание txt-записки:
[+] All Your Files Have Been Encrypted [+]
[-] Do You Really Want To Restore Your Files?
[+] Write Us To The E-Mail : rescueme55@protonmail.com
[+] Write Us To The ID-Telegram : @Book545
[+] If you did not get any response until 24 hours later,Write to this E-Mail : nordrescue@protonmail.com
[-] Write Your Unique-ID In The Title Of Your Message.
[+] Unique-ID : 6E70A5FE
Обновление от 2 октября 2020:
Идентификация в IDR: Wanna Scream
Расширение: .NORD
Составное расширение: .[88230CE8[nordunlock@protonmail.com].NORD
Записки: info.hta, ReadMe.txt
Email: nordunlock@protonmail.com, rescueme55@cock.li
Telegram: @Book545
➤ Содержание txt-записки:
[+] All Your Files Have Been Encrypted [+]
[-] Do You Really Want To Restore Your Files?
[+] Write Us To The E-Mail : nordunlock@protonmail.com
[+] Write Us To The ID-Telegram : @Book545
[+] If you did not get any response until 24 hours later,Write to this E-Mail : rescueme55@cock.li
[-] Write Your Unique-ID In The Title Of Your Message.
[+] Unique-ID : 88230CE8
Обновление от 26 октября 2020:
Идентификация в IDR: WannaScream
Расширение: .Bang
Составное расширение: .[XXXXXXXX[databang2020@protonmail.com].Bang
Расширение (шаблон): .[<id>[<email>].Bang
Записки: info.hta, ReadMe.txt
Результаты анализов: VT + IA
Обновление от 27 октября 2020:
Идентификация в IDR: WannaScream
Расширение: .H@RM@
Составное расширение: .[XXXXXXXX[recoverydata98@protonmail.com].H@RM@
Email: recoverydata98@protonmail.com, recoverydata99@protonmail.com
Записки: info.hta, ReadMe.txt
=== 2021 ===
Вариант от 19 сентября 2021:
Самоназвание: Snc_Ransomware
Разработка на языке .NET
Расширение: .Cns
Полное расширение: .email=decryptharma24@cock.li.id=XXXXXXXX.Cns
Записки: ReadMe.txt, info.hta
Файл: File encryption.exe
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы в некоторых случаях можно расшифровать Скачать Emsisoft Decryptor for WannaCryFake >> * Для более новых версий нужен другой дешифровщик.
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as WannaCryFake, AWT, WannaScream) Write-up, Topic of Support *
Thanks: Michael Gillespie, GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.