TurkStatik Ransomware
(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: JavaEmbededLibrary.exe
Обнаружения:
DrWeb -> Trojan.Encoder.30023
BitDefender -> Trojan.Agent.EGYV
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
McAfee -> RDN/Ransom
TrendMicro -> Ransom.MSIL.FAKEGLOBE.AB
Avira (no cloud) -> TR/Ransom.qtrbx
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .ciphered
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был представлен во второй половине ноября 2019 г. Но был создан и распространялся раньше, т.к. штамп времени создания: 22 сентября 2019. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: README_DONT_DELETE.txt
Скриншот оригинальной записки
Скриншот перевода на английский
Содержание записки о выкупе:
Sisteminizde önemli gördügümüz datalarinizi sifreledik. Bilindik veri kurtarma yöntemleri ile verilerinizi geri getiremeyeceginizi bilmenizi isteriz.
Bu yöntemler sadece sizin zaman kaybetmenize sebep olacaktir.
Yinede veri kurtarma firmalari yada programlari kullanmak isterseniz lütfen asil dosyalariniz üzerinde degil,
bunlarin kopyalari üzerinde islem yapiniz ve/veya yaptiriniz.
Asil dosyalarin bozulmasi verilerinizin geri dönülemez sekilde zarar görmesine sebep olabilir.
Sifrelenen dosyalarinizin asillari, üzerine rast gele veri yazma teknigi kullanilarak silinmistir.
48 saat içerisinde dönüs yapilmadigi taktirde, sistemede kullanilan sifre silinecektir ve verileriniz asla geri döndürülemeyecektir.
Diskleriniz Full disk encryption ile sifrelenmistir yetkisiz müdahale kalici veri kaybina neden olur!
Para Verseniz Daha Açmazlar Diyen Bilgisayarcilara veya Parani Alir Dosyalarini Vermez Diyen
Etrafinizdaki insanlara inanmayin
Size Güven Verecek Yeterli Referansa Sahibim
Sizi tanimiyorum, dolayisi ile size karsi kötü duygular beslememin size kötülük yapmamin bir anlami da yok,
amacim sadece bu isten bir gelir elde etmek. Yaptiginiz ödeme sonrasinda
en kisa zamanda verilerinizi eski haline getirmek için sunucunuza baglanacagim.
24 saat içerisinde dönüs yapilmadigi taktirde, sistemede kullanilan sifre silinecektir ve verileriniz asla geri döndürülemeyecektir.
Verilerinizin sifresini çözdürmek için asagidaki iletisim kanalindan bizlere ulasabilirsiniz.
Ulasmak istediginide mutlaka asagida size özel üretilen kodu eklemeyi unutmayiniz.
SITE_CODE: ***
e-mail : decservice@mail.ru
recoverydbservice@protonmail.com
Содержание записки о выкупе (перевод с турецкого на английский):
We have encrypted your important data on your system. We would like you to know that you cannot restore your data with familiar data recovery methods.
These methods will only waste your time.
However, if you want to use data recovery companies or programs, please do not use your original files, process and / or have copies of them.
Corruption of master files can cause irreversible damage to your data.
The originals of your encrypted files have been deleted using random data write technique.
If no return is made within 48 hours, the password used in the system will be deleted and your data will never be restored.
Your disks are encrypted with Full disk encryption and unauthorized interference will result in permanent data loss!
Don't Open Your Money Versus Computing
Don't believe the people around you
I have enough references to give you confidence
I don't know you, so it doesn't make sense that I have bad feelings for you,
My goal is just to make this desirable income. After your payment
I will connect to your server to restore your data as soon as possible.
If no return is made within 24 hours, the password used in the system will be deleted and your data will never be restored.
To decrypt your data, you can contact us via the following communication channel.
If you want to reach, do not forget to add the code that is specially produced below.
SITE_C0DE: ***
e-mail: decservice@mail.ru
recoverydbservice@protonmail.com
Перевод записки (с турецкого на русский язык):
Мы зашифровали ваши важные данные в вашей системе. Мы хотели бы, чтобы вы знали, что вы не сможете восстановить свои данные с помощью известных способов восстановления данных.
Эти способы будут только тратить ваше время.
Однако, если вы хотите использовать компании или программы по восстановлению данных, обрабатывайте и/или используйте их копии, а не исходные файлы.
Повреждение мастер-файлов может привести к необратимому повреждению ваших данных.
Оригиналы ваших зашифрованных файлов были удалены методом случайной записи данных.
Если в течение 48 часов возврат не будет сделан, используемый в системе пароль будет удален, а ваши данные никогда не будут восстановлены.
Ваши диски зашифрованы с помощью полного шифрования диска, и несанкционированное вмешательство приведет к постоянной потере данных!
Не открывайте свои деньги в сравнении с компьютерами
Не верь людям вокруг тебя
У меня достаточно ссылок, чтобы придать вам уверенности
Я вас не знаю, поэтому не имеет смысла, что у меня к вам плохие чувства, и я не хочу ничего с вами делать. Я подключусь к вашему серверу, чтобы восстановить ваши данные в кратчайшие сроки после оплаты.
Если в течение 24 часов возврат не будет сделан, используемый в системе пароль будет удален, а ваши данные никогда не будут восстановлены.
Чтобы расшифровать ваши данные, вы можете связаться с нами по следующему каналу связи.
Если вы хотите успеть, не забудьте добавить код, который специально создан ниже.
SITE_C0DE: ***
email: decservice@mail.ru
recoverydbservice@protonmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README_DONT_DELETE.txt
JavaEmbededLibrary.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютекс:
WBEMPROVIDERSTATICMUTEX
Сетевые подключения и связи:
Email: decservice@mail.ru, recoverydbservice@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Скачайте Emsisoft decryptor по этой ссылке >> *** Подробное руководство прилагается ***
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as TurkStatik) Write-up, Topic of Support *
Thanks: Jack, Michael Gillespie, Emsisoft Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
