Nodera Ransomware
NodeJS Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096 (в записке указано 2048), а затем требует выкуп в 0.4 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
Обнаружения:
CAT-QuickHeal -> VBS.NoderaRansom.36592, JS.NoderaRansom.36593
ALYac -> Trojan.Downloader.VBS.Agent
BitDefender -> VBS.ObfDldr.27.Gen
DrWeb -> VBS.DownLoader.1814
ESET-NOD32 -> VBS/Filecoder.F
Kaspersky -> HEUR:Trojan-Downloader.Script.Generic, HEUR:Trojan.Script.Generic
Microsoft -> Ransom:VBS/Filecoder.G!MTB
Rising -> Trojan.Downloader!1.A537 (CLASSIC)
Symantec -> VBS.Downloader.Trojan, Trojan Horse
TrendMicro -> TROJ_FRS.0NA104BP20, HEUR_VBS.DL1
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: платформа Node.js >> Nodera (NodeJS)
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .encrypted
В других вариантах может быть любое другое расширение.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно еще находится в разработке и активно не распространяется.
Записка с требованием выкупа называется: How-to-buy-bitcoins.html
В других вариантах может быть любая другая.
Содержание записки о выкупе:
Your files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. The single copy of the private key, which will allow to decrypt files, located on a remote server on the Internet. The server will destroy the key after a March 1, 2018. After that, nobody will be able to restore files ... To obtain the private key for this computer, you need to send 0.4 BTC to bitcoin address 18aBKwKJvMCkZmpkcCbW9b9y9snAmU3kgo
You can easily delete this software, but know that without it, you will never be able to get your original files back. Disable your antivirus to prevent the removal of this software. When your transaction will be verified and confirmed you will receive your private key.
Approximate destruction time of your private key March 1, 2018
How to buy bitcoins
Xchange.cash
24paybank.com
Change.me
Kassa.cc
Change.am
Coinbase.com
more options
Bestchange.com
Перевод записки на русский язык:
Ваши файлы зашифрованы! Шифрование сделано с уникальным открытым ключом RSA-2048, созданного для этого компьютера. Для расшифровки файлов вам надо получить закрытый ключ. Единственная копия закрытого ключа, которая позволит расшифровать файлы, находится на удаленном сервере в Интернете. Сервер уничтожит ключ после 1 марта 2018 года. После этого никто не сможет восстановить файлы... Чтобы получить закрытый ключ для этого компьютера, вам надо отправить 0.4 BTC на биткойн-адрес 18aBKwKJvMCkZmpkcCbW9b9y9snAmU3kgo
Вы можете легко удалить эту программу, но знайте, что без нее вы никогда не сможете вернуть свои исходные файлы. Отключите антивирус, чтобы предотвратить удаление этой программы. Когда ваша транзакция будет проверена и подтверждена, вы получите свой закрытый ключ.
Примерное время уничтожения вашего закрытого ключа 1 марта 2018 г.
Как купить биткойны
Xchange.cash
24paybank.com
Change.me
Kassa.cc
Change.am
Coinbase.com
больше вариантов
Bestchange.com
Технические детали
Nodera использует платформу Node.js, чтобы инфицировать ОС Windows. Node.js - это кроссплатформенная среда выполнения JavaScript с открытым исходным кодом, которая выполняет код JavaScript вне браузера. Построена на движке V8 JavaScript. V8 - это высокопроизводительный движок JavaScript и WebAssembly от Google с открытым исходным кодом, написанный на C ++. Используется в Chrome и Node.js, среди прочих. Реализует ECMAScript и WebAssembly и работает в системах Windows 7-10, macOS 10.12+ и Linux, использующих процессоры x64, IA-32, ARM или MIPS. V8 может работать автономно или может быть встроен в любое приложение C++.
✋ Пользователи могут легко заразиться этим Nodera Ransomware при просмотре в Интернете, либо щелкнув по вредоносному файлу HTA, либо когда он используется в качестве вредоносной рекламы.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How-to-buy-bitcoins.html - название файла с требованием выкупа
Decrypt-your-files.bat
5e3dfe020da258c17699ee7b6ca48926d04a3c26b4643d036d27363299dc3987.vbs
GFp0JAk.exe
GFp0JAk.vbs
bootstrap_node.js
module.js
next_tick.js
<random>.js - случайное название вредоносного файла
Комерческое предложение.doc.vbs
privkey.pm2.enc
См. также текст в окне Decrypt-your-files.bat
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
С помощью следующих записей вредонос пытается обеспечить себе постоянную загрузку с системой.
%Userprofile%\AppData\Local\GFp0JAk
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "Microsoft Office", "Startup", "Windows"
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxxs://nodejs.org/download/release/latest-v8.x/win-x86/node.exe
Email:
BTC: 18aBKwKJvMCkZmpkcCbW9b9y9snAmU3kgo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA> IA>
ᕒ ANY.RUN analysis >> AR> AR>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Ravi Gidwani, JAMESWT, GrujaRS Andrew Ivanov (author) Quick Heal Security to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
