MaMoCrypter Ransomware
Aliases: MaMo434376, MaMo, MZ
MZRevenge Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 300$ в BTC, чтобы вернуть файлы. Оригинальное название: MaMo434376. На файле написано: Project.exe. Шифровальщик написан на Delphi и защищен с помощью оболочки VMProtect. Троян-загрузчик написан на C#. Разработчик из Турции. Файлы в некоторых случаях можно расшифровать!
Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.40351,Trojan.MulDrop11.31145, Trojan.Encoder.30348, Trojan.Encoder.30351
BitDefender -> Trojan.GenericKD.32789837, Trojan.GenericKD.42094892, Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.42099004, Trojan.GenericKD.32794814, Gen:Variant.Graftor.684088
Malwarebytes -> Ransom.Mamo
ESET-NOD32 -> A Variant Of Win32/Filecoder.NZD, A Variant Of Generik.CSSWWDJ
Kaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.Win32.CryFile.gen
Symantec -> ML.Attribute.HighConfidence, Downloader
Microsoft -> Trojan:Win32/Occamy.C, Ransom:Win32/Genasom
Rising -> Trojan.Generic@ML.82 (RDML:68PQS***), Trojan.Generic@ML.100 (RDML:VeE1bK***)
© Генеалогия: KesLan > TRSomware ⇒ MaMo434376, MZRevenge > Deniz Kızı (Mermaid)
Знак "⇒" здесь означает переход на другую разработку. KesLan был основан на HiddenTear, а варианты семейства MaMo разработаны в Delphi.
Изображение — логотип статьи
Название из кода шифровальщика
К зашифрованным файлам добавляется расширение: .MaMo434376
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Первые образцы этого крипто-вымогателя были найдены в начале декабря 2019 г. Это можно считать ранней активностью, которая продолжилась и в 2020 году. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: Read_ME_PLS.txt
Содержание записки о выкупе:
ATTENTION!
Don*t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free, file must not contain valuable information.
Price of private key and decrypt software is $300.
Discount 50% available if you contact us first 72 hours, thats price for you is $150.
Please note that you*ll neuer restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don*t get answer more than 6 hours.
e-mail address to send your file and To get this software you need write on my e-mail:
helpdesk_mz@aol.com
Your Decryption Key (DO NOT WIPE OR CHANGE THIS SWITCH!) :
VFyyQDBPtTHNESjZSwi4yWZ7aQio3TB/LkejwhZ87UJDCfNnuiUUfYeDgrBIrxFCwMGVa5GZhw==
Перевод записки на русский язык:
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фото, базы данных, документы и другие важные, зашифрованы с самым надежным шифрованием и уникальным ключом.
Единственный способ восстановления файлов - приобрести для вас инструмент дешифрования и уникальный ключ.
Эта программа расшифрует все ваши зашифрованные файлы.
Какие у вас гарантии?
Вы можете отправить один из ваших зашифрованных файлов с вашего ПК и мы расшифруем его бесплатно.
Но мы можем расшифровать только 1 файл бесплатно, файл не должен содержать ценную информацию.
Цена на закрытый ключ и программу расшифровки составляет $300.
Скидка 50% доступна, если вы обратитесь к нам в первые 72 часа, цена для вас составит $150.
Обратите внимание, что вы сможете восстановить ваши данные без оплаты.
Проверьте в своем email папки "Spam" or "Junk", если вы не получили ответа более 6 часов.
email-адрес для отправки вашего файла и чтобы получить это программу вам надо написать на мой email-адрес:
helpdesk_mz@aol.com
Ваш ключ дешифрования (НЕ СТИРАЙТЕ И НЕ МЕНЯЙТЕ ЭТИ ДАННЫЕ?):
VFyyQDBPtTHNESjZSwi4yWZ7aQio3TB/LkejwhZ87UJDCfNnuiUUfYeDgrBIrxFCwMGVa5GZhw==
MAMO434376 RANSOMWARE
Технические детали
На момент написания статьи активно не распространяется. Но после доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходит. Требуется разрешение на запуск. Позже он стал отключать UAC.
➤ Использует код или разработку от NG Software (Master Remote). Это подтверждено сервисом Intezer Analyze.
Список файловых расширений, подвергающихся шифрованию:
➤ Этот шифровальщик повреждает все файлы размером более 4 Гб, делая их восстановление невозможным.
Файлы, связанные с этим Ransomware:
Project.exe
Read_ME_PLS.txt
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Start Menu\
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: helpdesk_mz@aol.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Подробнее о шифровании и возможность расшифровки:
В этом семействе используется только алгоритм симметричного шифрования, модифицированный автором. Каждый файл имеет одинаковый ключ шифрования. 16-байтовый ключ генерируется случайным образом и используется режим потокового шифрования "одноразовым ключом". Ключ алгоритма симметричного шифрования AES-256 жестко закодирован в коде вредоноса для шифрования ключа зашифрованного файла. Первые 14 фиксированных байтов используются для генерации ключевого потока, а последние два байта используются для шифрования данных. Алгоритмы асимметричного шифрования не используются во всем процессе шифрования, что позволяет получить ключи шифрования файлов для восстановления данных.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
MaMo434376 Ransomware - декабрь 2019
MZRevenge Ransomware - декабрь 2019
Deniz Kızı (Mermaid) Ransomware - декабрь 2019
Обновление от 9-10 декабря 2019:
Самоназвание: MZREVENGE 1.0 Ransomware
MZRevenge написан на языке Delphi и защищен с помощью оболочки VMProtect.
Статус: Файлы можно расшифровать.
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Дополнение от 12 января 2020 >>
Расширение: .MZ173801
Записка: Read_ME_PLS.txt
Email: helpdesk_mz@aol.com
Результаты анализов: VT + AR / VT + VT + VT + VMR / VT + AR
➤ Обнаружения:
DrWeb -> Trojan.MulDrop11.31145, Trojan.Encoder.30348, Trojan.Encoder.30351
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.42099004
Malwarebytes -> Ransom.Mamo
Kaspersky -> HEUR:Trojan-Ransom.Win32.CryFile.gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.NZH
---
Список целевых расширений у этого варианта:
Обновление от 5 апреля 2020:
Пост в Твиттере >>
Расширение: .Encrypted
Файл: _RMAMO.exe
Файл проекта: C:\Users\MaMo434376\Desktop\_RMAMO\_RMAMO\obj\Debug\_RMAMO.pdb
Записка: не обнаружена.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: helpdesk_mz@aol.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Подробнее о шифровании и возможность расшифровки:
В этом семействе используется только алгоритм симметричного шифрования, модифицированный автором. Каждый файл имеет одинаковый ключ шифрования. 16-байтовый ключ генерируется случайным образом и используется режим потокового шифрования "одноразовым ключом". Ключ алгоритма симметричного шифрования AES-256 жестко закодирован в коде вредоноса для шифрования ключа зашифрованного файла. Первые 14 фиксированных байтов используются для генерации ключевого потока, а последние два байта используются для шифрования данных. Алгоритмы асимметричного шифрования не используются во всем процессе шифрования, что позволяет получить ключи шифрования файлов для восстановления данных.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
MaMo434376 Ransomware - декабрь 2019
MZRevenge Ransomware - декабрь 2019
Deniz Kızı (Mermaid) Ransomware - декабрь 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 9-10 декабря 2019:
Самоназвание: MZREVENGE 1.0 Ransomware
MZRevenge написан на языке Delphi и защищен с помощью оболочки VMProtect.
Статус: Файлы можно расшифровать.
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Дополнение от 12 января 2020 >>
Расширение: .MZ173801
Записка: Read_ME_PLS.txt
Email: helpdesk_mz@aol.com
Результаты анализов: VT + AR / VT + VT + VT + VMR / VT + AR
Новый список файловых расширений:
DrWeb -> Trojan.MulDrop11.31145, Trojan.Encoder.30348, Trojan.Encoder.30351
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.42099004
Malwarebytes -> Ransom.Mamo
Kaspersky -> HEUR:Trojan-Ransom.Win32.CryFile.gen
ESET-NOD32 -> A Variant Of Win32/Filecoder.NZH
---
Список целевых расширений у этого варианта:
Обновление от 5 апреля 2020:
Пост в Твиттере >>
Расширение: .Encrypted
Файл: _RMAMO.exe
Файл проекта: C:\Users\MaMo434376\Desktop\_RMAMO\_RMAMO\obj\Debug\_RMAMO.pdb
Записка: не обнаружена.
Другие файлы: Passz.txt
Результаты анализов: VT + IA + AR + TG
➤ Обнаружения:
DrWebTrojan.Encoder.31445
BitDefenderGen:Heur.Ransom.HiddenTears.1
ESET-NOD32MSIL/Filecoder.YY
RisingRansom.Encoder!8.FFD4 (CLOUD)
SymantecML.Attribute.HighConfidence
Обновление от 16 марта 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .MZ173801
Записка: How Do I Recover My Files (Readme).txt
Email: mzrdecryptorbuy@firemail.cc
BTC: 3HYoqfBS1ZceA2AvmdEucbnEHp74nu9cjd
Использованные URL:
mzrevenge.ga
dosyaupload.tech
xxxxs://dosyaupload.tech/Download/File?fileName=B17341B5E30D38AD34CE06FF4EFC49C8%2Fsvchost.exe
api.ipify.org
api.db-ip.com
Файлы: Cheats_Loader_protected.exe, Cheats_Loader.exe
Результаты анализов: VT + VMR + AR+AR + IA+IA + HA
---
Файл: Ransomware downloader yeni.bin.exe
Результаты анализов: VT + AR + IA + HA
Обновление от 2 мая 2020:
Пост в Твиттере >>
Написан по-прежнему на Delphi, но упакован с помощью MPRESS.
---
Результаты анализов: VT + IA + AR + TG
➤ Обнаружения:
DrWebTrojan.Encoder.31445
BitDefenderGen:Heur.Ransom.HiddenTears.1
ESET-NOD32MSIL/Filecoder.YY
RisingRansom.Encoder!8.FFD4 (CLOUD)
SymantecML.Attribute.HighConfidence
Обновление от 16 марта 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .MZ173801
Записка: How Do I Recover My Files (Readme).txt
Email: mzrdecryptorbuy@firemail.cc
BTC: 3HYoqfBS1ZceA2AvmdEucbnEHp74nu9cjd
Использованные URL:
mzrevenge.ga
dosyaupload.tech
xxxxs://dosyaupload.tech/Download/File?fileName=B17341B5E30D38AD34CE06FF4EFC49C8%2Fsvchost.exe
api.ipify.org
api.db-ip.com
Файлы: Cheats_Loader_protected.exe, Cheats_Loader.exe
Результаты анализов: VT + VMR + AR+AR + IA+IA + HA
---
Файл: Ransomware downloader yeni.bin.exe
Результаты анализов: VT + AR + IA + HA
Обновление от 2 мая 2020:
Пост в Твиттере >>
Написан по-прежнему на Delphi, но упакован с помощью MPRESS.
Шифрование: AES-128 (CBC) + Twofish-128 (NOFB) + AES-128 (CFB) для остатка. Любой файл размером более 4 ГБ будет безвозвратно поврежден, из-за ошибки в конфигурации шифратора. Подробнее о шифровании в статье BitDefender >>
Расширение: .MZ173801
Записка: How Do I Recover My Files (Readme).txt
Email: mzrdecryptorbuy@firemail.cc
BTC: 3HYoqfBS1ZceA2AvmdEucbnEHp74nu9cjd
Файл: MaMoCrypter.exe
Результаты анализов: VT + VMR + AR + AR + IA + IA + TG + TG
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30538
BitDefender -> Gen:Variant.Strictor.242371
Malwarebytes -> Ransom.MZRevenge
Rising -> Ransom.Agent!8.6B7 (CLOUD)
TrendMicro -> Ransom_Kizi.R002C0DDU20
Записка: How Do I Recover My Files (Readme).txt
Email: mzrdecryptorbuy@firemail.cc
BTC: 3HYoqfBS1ZceA2AvmdEucbnEHp74nu9cjd
Файл: MaMoCrypter.exe
Результаты анализов: VT + VMR + AR + AR + IA + IA + TG + TG
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30538
BitDefender -> Gen:Variant.Strictor.242371
Malwarebytes -> Ransom.MZRevenge
Rising -> Ransom.Agent!8.6B7 (CLOUD)
TrendMicro -> Ransom_Kizi.R002C0DDU20
Список расширений в этом варианте:
.3dm, .3DM, .3g2, .3G2, .3gp, .3GP, .7zip, .7ZIP, .aaf, .AAF, .accdb, .ACCDB, .aep, .AEP, .aepx, .AEPX, .aet, .AET, .ai, .AI, .aif, .AIF, .apk, .APK, .as, .AS, .as3, .AS3, .asf, .ASF, .asm, .ASM, .asp, .ASP, .aspx, .ASPX, .asx, .ASX, .avi, .AVI, .back, .BACK, .backup, .BACKUP, .bak, .BAK, .bat, .BAT, .bmp, .BMP, .c, .C, .class, .CLASS, .cpp, .CPP, .cs, .cs, .CS, .CS, .csproj, .CSPROJ, .csv, .CSV, .dat, .DAT, .db, .DB, .dbf, .DBF, .design, .DESIGN, .doc, .DOC, .docb, .DOCB, .docm, .DOCM, .docx, .DOCX, .dot, .DOT, .dotm, .DOTM, .dotx, .DOTX, .dtb, .DTB, .dwg, .DWG, .dxf, .DXF, .efx, .EFX, .eps, .EPS, .fla, .FLA, .flv, .FLV, .gif, .GIF, .h, .H, .hpp, .HPP, .hwp, .HWP, .ibank, .IBANK, .idml, .IDML, .iff, .IFF, .indb, .INDB, .indd, .INDD, .indl, .INDL, .indt, .INDT, .inx, .INX, .jar, .JAR, .java, .JAVA, .jpeg, .JPEG, .jpg, .JPG, .js, .JS, .lnk, .LNK, .lua, .LUA, .m3u, .M3U, .m3u8, .M3U8, .m4a, .M4A, .m4u, .M4U, .m4v, .M4V, .max, .MAX, .mdb, .MDB, .mid, .MID, .mkv, .MKV, .mov, .MOV, .mp3, .MP3, .mp4, .MP4, .mpa, .MPA, .mpeg, .MPEG, .mpg, .MPG, .msg, .MSG, .obj, .OBJ, .ogg, .OGG, .one, .ONE, .onetoc2, .ONETOC2, .pdb, .PDB, .pdf, .PDF, .php, .PHP, .plb, .PLB, .pmd, .PMD, .png, .PNG, .pot, .POT, .potm, .POTM, .potx, .POTX, .ppam, .PPAM, .ppj, .PPJ, .pps, .PPS, .ppsm, .PPSM, .ppsx, .PPSX, .ppt, .PPT, .pptm, .PPTM, .pptx, .PPTX, .prel, .PREL, .prproj, .PRPROJ, .ps, .PS, .psd, .PSD, .pst, .PST, .py, .PY, .ra, .RA, .rar, .RAR, .raw, .RAW, .rb, .RB, .rtf, .RTF, .sdf, .SDF, .ses, .SES, .sldm, .SLDM, .sldx, .SLDX, .sln, .SLN, .sql, .SQL, .sqlite, .SQLITE, .sqlite3, .SQLITE3, .sqlitedb, .SQLITEDB, .svg, .SVG, .swf, .SWF, .tif, .TIF, .txt, .TXT, .url, .URL, .vb, .VB, .vbproj, .VBPROJ, .vcf, .VCF, .vob, .VOB, .wav, .WAV, .wma, .WMA, .wmv, .WMV, .wpd, .WPD, .wps, .WPS, .xla, .XLA, .xlam, .XLAM, .xll, .XLL, .xlm, .XLM, .xls, .XLS, .xlsb, .XLSB, .xlsm, .XLSM, .xlsx, .XLSX, .xlt, .XLT, .xltm, .XLTM, .xltx, .XLTX, .xlw, .XLW, .xml, .XML, .xqx, .xqx, .XQX, .XQX, .zip, .ZIP (312 расширений).
Обновление от 5 мая 2020:
Пост в Твиттере >>
Расширение: .Zv7uN
Другие данные не получены.
Результаты анализов: VT+ AR+AR + IA+IA + TG + VMR
© Amigo-A (Andrew Ivanov): All blog articles.
Обновление от 5 мая 2020:
Пост в Твиттере >>
Расширение: .Zv7uN
Другие данные не получены.
Результаты анализов: VT+ AR+AR + IA+IA + TG + VMR
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть дешифровщики 1. Скачайте 360 Ransomware Decryption Tools >> Прочтите подробную инструкцию перед запуском. --- 2. Скачайте BitDefender Decryption Tool >> Прочтите подробную инструкцию перед запуском. ***
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as MaMoCrypter) Write-up, Topic of Support Added later: Write-up by BitDefender (on October 16, 2020)
Thanks: CyberSecurity GrujaRS, Raby, HILDACRYPT Andrew Ivanov (author) Qihoo 360, BitDefender for decryptors to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
