Sun (SunCrypt) Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: SYSINFO.EXE. Написан на языке Go. Предназначен для Windows систем.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33576
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Agent.tqrpd
BitDefender -> Generic.Ransom.Spora.D53CEDC3
ESET-NOD32 -> Win32/Agent.TAE
Malwarebytes -> Malware.Heuristic.1003
Qihoo-360 -> Generic/Trojan.b2e
Rising -> Trojan.Agent!8.B1E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Suxr
TrendMicro -> TROJ_GEN.R045C0RK120
---Значок "⇒" означает переход надругую разработку.
К зашифрованным файлам добавляется расширение: .sun
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину октября 2019 г. Ориентирован на англоязычных пользователей, может распространять его по всему миру.
Записка с требованием выкупа называется: DECRYPT_INFORMATION.html
Содержание записки о выкупе:
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we’re not bluffing just check out your files and see they all are .sun-formatted. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
How do I access the website?
Get TOR browser here
Go to our website
Once you open the page, follow the steps to restore your files.
Offline HowTo
Copy & Paste this message to this page textarea field
[redacted base64]
Перевод записки на русский язык:
Что случилось?
Мы получили твои документы и файлы зашифрованы, и ты не сможешь получить к ним доступ. Чтобы убедиться, что мы не блефуем, просто проверь твои файлы и убедитесь, что они все .sun-форматированы. Хочешь восстановить их? Просто делай то, что мы тебе советуем. Если ты не будешь следовать нашим рекомендациям, ты никогда не увидишь свои файлы.
Какие гарантии?
Мы занимаемся своим делом и никогда не заботимся о том, что ты делаешь. Все, что нам нужно, это заработать. Если мы будем нечестными парнями, никто не будет работать с нами. Поэтому, если ты откажешься от нашего предложения, мы не будем обижаться, но ты потеряете все свои данные и файлы. Сколько времени потребуется, чтобы восстановить убытки? Ты можешь только догадываться.
Как я могу получить доступ к сайту?
Получить браузер TOR здесь
Перейти на наш сайт
После того, как ты откроешь страницу, выполни шаги, чтобы восстановить свои файлы.
Оффлайн как
Скопируй и вставь это сообщение на эту страницу.
[redacted base64]
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Идентификатор жертвы декодируется с base64 в JSON с "BuildID" и "MsgRsa".
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
DECRYPT_INFORMATION.html
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: xxxxs://sunlocksmdmv65mf.onion
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
© Amigo-A (Andrew Ivanov): All blog articles.
Изображение — только логотип статьи
К зашифрованным файлам добавляется расширение: .sun
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину октября 2019 г. Ориентирован на англоязычных пользователей, может распространять его по всему миру.
Записка с требованием выкупа называется: DECRYPT_INFORMATION.html
Содержание записки о выкупе:
Whats Happen?
We got your documents and files encrypted and you cannot access them. To make sure we’re not bluffing just check out your files and see they all are .sun-formatted. Want to recover them? Just do what we instruct you to. If you fail to follow our recommendations, you will never see your files again.
What Guarantees?
We’re doing our own business and never care about what you do. All we need is to earn. Should we be unfair guys, no one would work with us. So if you drop our offer we won’t take any offense but you’ll lose all of your data and files. How much time would it take to recover losses? You only may guess.
How do I access the website?
Get TOR browser here
Go to our website
Once you open the page, follow the steps to restore your files.
Offline HowTo
Copy & Paste this message to this page textarea field
[redacted base64]
Перевод записки на русский язык:
Что случилось?
Мы получили твои документы и файлы зашифрованы, и ты не сможешь получить к ним доступ. Чтобы убедиться, что мы не блефуем, просто проверь твои файлы и убедитесь, что они все .sun-форматированы. Хочешь восстановить их? Просто делай то, что мы тебе советуем. Если ты не будешь следовать нашим рекомендациям, ты никогда не увидишь свои файлы.
Какие гарантии?
Мы занимаемся своим делом и никогда не заботимся о том, что ты делаешь. Все, что нам нужно, это заработать. Если мы будем нечестными парнями, никто не будет работать с нами. Поэтому, если ты откажешься от нашего предложения, мы не будем обижаться, но ты потеряете все свои данные и файлы. Сколько времени потребуется, чтобы восстановить убытки? Ты можешь только догадываться.
Как я могу получить доступ к сайту?
Получить браузер TOR здесь
Перейти на наш сайт
После того, как ты откроешь страницу, выполни шаги, чтобы восстановить свои файлы.
Оффлайн как
Скопируй и вставь это сообщение на эту страницу.
[redacted base64]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Идентификатор жертвы декодируется с base64 в JSON с "BuildID" и "MsgRsa".
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
DECRYPT_INFORMATION.html
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: xxxxs://sunlocksmdmv65mf.onion
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Sun (SunCrypt) 2019 Ransomware - октябрь 2019
Suncrypt 2020 (Haywood) Ransomware - август 2020
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Suncrypt 2020 Ransomware (отдельная статья).
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as SunCrypt) Write-up, Topic of Support Added later: Write-up by Intezer (on 2 Marc 2021)
Thanks: Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.