Lockedv1, Gehenna

Lockedv1 Ransomware

Gehenna Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: windows-update-CVE-wFW.exe. Язык программирования: Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33347, Trojan.Encoder.33793
Avira (no cloud) -> TR/AD.RansomHeur.aiqat

BitDefender -> Trojan.GenericKD.45208383
ESET-NOD32 -> A Variant Of Win32/Filecoder.NVZ
Microsoft -> Trojan:Win32/Wacatac.B!ml

Qihoo-360 -> Win32/Trojan.a26 
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Filecoder.Wqcn
TrendMicro -> TROJ_GEN.R002H0DLR20
---

© Генеалогия: ✂️ MauriGo >> Lockedv1 > Gehenna

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lockedv1
Имена зашифрованный файлов переименовываются. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность раннего варианта этого крипто-вымогателя пришлась на конец декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: READMEV1.txt

Содержание записки о выкупе: 

How to decrypt: 

Download Tor Browser (https://www.torproject.org/dist/torbrowser/10.0.7/torbrowser-install-10.0.7_en-US.exe) and install. 

Open http://decryptu7o2cckt5.onion with Tor Browser. 

Paste yor KEY 03b76-1c61afa6b-ca44645589-***** and follow instructions

Your KEY

03b76-1c61afa6b-ca44645589-*****

Перевод записки на русский язык: 

Как расшифровать:

Загрузите Tor-браузер (https://www.torproject.org/dist/torbrowser/10.0.7/torbrowser-install-10.0.7_en-US.exe) и установите.

Откройте http://decryptu7o2cckt5.onion в браузере Tor.

Вставьте КЛЮЧ 03b76-1c61afa6b-ca44645589-***** и следуйте инструкциям.

Твой КЛЮЧ

03b76-1c61afa6b-ca44645589-*****

Скриншоты Tor-сайта вымогателей: 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Обходит UAC. 

➤ Удаляет теневые копии файлов. 

➤ Использует сертификаты X.509. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READMEV1.txt - название файла с требованием выкупа, добавляется в Автозагрузку системы; 
windows-update-cve-wfw.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\windows-update-cve-wfw.exe

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READMEV1.txt

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows-update-cve-wfw.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://decryptu7o2cckt5.onion

Email: - 
BTC: 1GoiZyKiJCrjjrkxoDnFRiSaxbGUDpfF4D
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 9 апреля 2021: 

Сообщение >>
Сообщение >>

Самоназвание варианта: Gehenna Locker

Расширение: .gehenna

Примеры замены имени после шифрования: Chrysanthemum.jpg -> Q2hyeXNhbnRoZW11bS5qcGc=.gehenna

Записка: GEHENNA-README-WARNING.html

Email: ferrari@msgsafe.io, bannedlands@msgsafe.io

Результаты анализов: VT + IA / VT + IA

---

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33793, Trojan.Encoder.33795, Trojan.Agent.FFJK

BitDefender -> Generic.Ransom.Snatch.5D7157A7

ESET-NOD32 -> A Variant Of Win32/Filecoder.NVZ, A Variant Of Generik.MDZFZML

Malwarebytes -> Malware.Heuristic.1003

Microsoft -> Trojan:Win32/Glupteba!ml

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Risk.Generic.Wptd

Сравнение первого и второго вариантов. В основном тот же код.
Похоже, они переименовали некоторые символы из проекта с открытым исходным кодом и скомпилировали x86 vs x64. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as MauriGo)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Ravi, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

16x

16x Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует отправить на email код, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 16x.exe.
---
Обнаружения:
DrWeb -> Trojan.Packed.193
ALYac -> Trojan.Ransom.Filecoder

BitDefender -> Trojan.GenericKD.35873483
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.HFL
Kaspersky -> Trojan-Ransom.Win32.Agent.azfs
Malwarebytes -> Trojan.MalPack.Themida
Microsoft -> Trojan:Win32/CryptInject!ml
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: ??? >> 16x

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .16x
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает следующий экран. Изображение черепа "оживает", как бы говорит текст. 

Содержание записки о выкупе: 

Hello, my friend, it's nice to meet you, don't ask me who I am, I'm not a hacker, the first time I met you brought trouble, I'm sorry! Because your programming source file is encrypted by me! Without my password, your source files will not be unlocked, do not try to crack, otherwise your source files will be automatically deleted!

Please send your code to: [3475857701@qq.com]

Your Order Number: ***

Password:_

Сообщение после расшифровки:

Hello, my friend, your data has been recovered. I hope we don't see each other next time!

Перевод записки на русский язык:

Привет, друг мой, приятно познакомиться, не спрашивай, кто я, я не хакер, первая встреча с тобой принесла неприятности, извини! Потому что твой исходный файл программирования зашифрован мной! Без моего пароля твои исходные файлы не будут разблокированы, не пытайся взломать, иначе твои исходные файлы будут автоматически удалены!

Отправь свой код на: [3475857701@qq.com]

Номер твоего заказа: ***

Пароль:_

Перевод сообщения после расшифровки:

Привет, друг мой, твои данные восстановлены. Надеюсь, в следующий раз мы не увидимся!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
16x.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 3475857701@qq.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as 16x)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jirehlov Solace, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mijnal

Mijnal Ransomware

MIJNAL Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CRYPTO-LOCKER MIJNAL. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33340
BitDefender -> Trojan.GenericKD.45163579
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Kryptik.fgsxo

ESET-NOD32 -> A Variant Of MSIL/Kryptik.ZCN
Kaspersky -> HEUR:Trojan.MSIL.Hesv.gen
Malwarebytes -> Trojan.Crypt.MSIL.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Hesv.Wqnk
TrendMicro -> TROJ_GEN.R002H0CLP20
---

© Генеалогия: ??? >> Mijnal

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mijnal


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README_LOCK.TXT

Содержание записки о выкупе:

#####################################################

######### ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ###########

############# ПОЖАЛУЙСТА ПРОЧТИТЕ ЭТО ###############

###### ЕСЛИ ВЫ ХОТИТЕ ВОССТАНОВИТЬ ВСЕ ФАЙЛЫ ########

#####################################################

+++++++++++++++++++++++++++++++++++++++++++++++++++++

++++++++++++++++ !!! ВАЖНО !!! ++++++++++++++++++++++

+++++ Не переименовывайте зашифрованные файлы. ++++++

++ Не пытайтесь расшифровать ваши данные с помощью ++

+++ стороннего программного обеспечения, это может ++

+++++++++ привести к полной потере данных. ++++++++++

+++++++++++++++++++++++++++++++++++++++++++++++++++++

Чтобы получить дешифратор для расшифровки, сделайте так

-

>> откройте файл OpenTheTorBrouser.html ТОЛЬКО В БРАУЗЕРЕ TOR

>> если не установлен этот браузер - скачайте его отсюда:

>> https://www.torproject.org/ru/download/ (версия для Windows)

>> затем установите браузер и откройте OpenTheTorBrouser.html

>> вас переадресует на страницу с инструкциями - следуйте им

#####################################################

############### CRYPTO-LOCKER MIJNAL ################

#####################################################

############ СПИСОК ЗАШИФРОВАННЫХ ФАЙЛОВ ############

-----------------------------------------------------

Перевод записки на русский язык:
Уже сделан. 

Другим информатором жертвы выступает Tor-сайт: 

Текст на веб-сайте: 

Оплатить в BTC

1. Запишите идентификатор платежа - он вам еще пригодиться.

2. Нажмите Оплатить: вас перебросит на страницу оплаты.

3. Произведите оплату: указанная сумма на указанный кошелек.

4. После оплаты вернитесь на предыдущую страницу и перейдите в чат.

5. Откройте новую переписку, указав ваш идентификатор платежа.

Внимание: агрегатор системы оплаты добавит небольшую комиссию.

    Идентификатор платежа : 5fe5ae5a58***

    Сумма оплаты :   $

    [Оплатить]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Список деструктивных команд, кроме шифрования:

Похищает учетные данные. 

Читает куки-файлы Google Chrome. 

Пытается удалить файл хоста. 

Изменяет значение автозапуска в реестре. 

Запускает BCDEDIT.EXE для отключения восстановления. 

Удаляет теневые копии. 

Запускает CMD.EXE для выполнения команд. 

Создает файлы в каталоге пользователя. 

Создает файлы в каталоге драйверов. 

Удаляет файл со недавней датой компиляции. 

Удаляет файлы из каталога Windows. 

Создает файлы в каталоге Windows. 

Создает файлы в каталоге программы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_LOCK.TXT - название файла с требованием выкупа

OpenTheTorBrouser.html - файл для перенаправления на Tor-сайт

Wbadmin.1.etl

KEY.FILE

xhome.exe - название вредоносного файла

OCCT.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\Temp\xhome.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://vy2hwfycbtogtmxlz3cfdvjk5jai6rlxzz2dseegeuckqmjgia6vxhyd.onion/index.php

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Mijnal)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jirehlov, Emmanuel_ADC-Soft
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Uh-Oh

Uh-Oh Ransomware

JGY Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 0.01 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: JGY.exe. Разработка с использованием .NET.
---
Обнаружения:
DrWeb -> ***

ALYac -> Trojan.Ransom.Cute, Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.eakmq, TR/Ransom.fhdiz

BitDefender -> Trojan.GenericKD.35799648, Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of MSIL/Filecoder.UZ, A Variant Of MSIL/Filecoder.AET

Kaspersky -> HEUR:Trojan-Ransom.MSIL.Trumper.gen

Malwarebytes -> Ransom.CuteRansom, Ransom.FileCryptor

Symantec -> ML.Attribute.HighConfidence

Tencent -> Msil.Trojan.Trumper.Wsas, Msil.Trojan.Trumper.Sxnv

---

© Генеалогия: CuteRansomware >> Uh-Oh

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .JGY


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на англоязычных и франкоязычных пользователей, может распространяться по всему миру. 

Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста о выкупе: 

UH-OH! YOUR FILES HAVE BEEN TAKEN OVER!

Your files have now been encrypted with irreversible AES-256 algorithm. Please do not modify, move or delete any of your files as it may cause permanent loss of your data. Instead, we have a better solution for your dilemma.

You may pay us a ransom to get your files decrypted. This guarantees all of your data to be returned as they were before you executed this file.

Send 0.01 BTC to the following address: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a

TIME EXPIRES ON: Monday, December 28, 2020

Перевод текста на русский язык: 

ОЙ-ОЙ! ВАШИ ФАЙЛЫ ЗАХВАЧЕНЫ!

Теперь ваши файлы зашифрованы с необратимым алгоритмом AES-256. Пожалуйста, не изменяйте, не перемещайте и не удаляйте какие-либо из ваших файлов, так как это может привести к безвозвратной потере ваших данных. Вместо этого у нас есть лучшее решение вашей дилеммы.

Вы можете заплатить нам выкуп за расшифровку ваших файлов. Это гарантирует, что все ваши данные будут возвращены в том виде, в котором они были до выполнения этого файла.

Отправьте 0.01 BTC на следующий адрес: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a

ВРЕМЯ ИСТЕКАЕТ: понедельник, 28 декабря 2020 г.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Копия исполняемого файла добавлется в Автозагрузку системы, чтобы стартовать вместе с системой. 

%APPDATA%\Microsoft\Xindows\Start menu\Programs\Startup\***.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
JGY.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%APPDATA%\Microsoft\Xindows\Start menu\Programs\Startup\***.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26 января 2021: 

Сообщение >>

Расширение: .jgy

BTC: 18EvsRRHhsHwNMHmNbMZwTNeeAaxCAM23a

Файл: Chromio.exe

Результаты анализов: VT + IA

 

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Kangxiaopao
 Andrew Ivanov (article author)
 Intezer Analyze
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

JCrypt

JCrypt Ransomware

Aliases: Locked, Daddycrypt, Omero

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: JCrypt. На файле написано: svchost.exe и Microsoft Corporation.exe. В рассмотренном примере шифруются только 5 файлов, возможно, что массово не распространяется и сделан ради позёрства и самоутверждения. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33345, Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.MSIL.Krypt.2, Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> MSIL/Filecoder.AEN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AA93, Trojan:Win32/Ymacco.AA8D
Rising -> Malware.Undefined!8.C *
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Crypren.Ehrw, Msil.Trojan.Crypren.Aduf
TrendMicro -> Ransom_Crypren.R002C0WLJ20, Ransom_Crypren.R002C0WLL20
---

© Генеалогия: Blank >> JCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .jcrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Варианты этого крипто-вымогателя были найдены во второй половине декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: ___RECOVER__FILES__.jcrypt.txt

Содержание записки о выкупе: 

All of your files have been encrypted.

To unlock them, please send 1 bitcoin(s) to BTC address: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1 Afterwards,

I please email your transaction ID to: this.email.address@gmail.com

Thank you and have a nice day! Encryption Log:

C:\Users\admin\Desktop\Tray.exe

C:\Users\admin\Pictures\desktop.ini

C:\Users\admi n\Documents\desktop.ini

C:\Users\admin\Documents\Visual Studio 2013\Settings\CurrentSettings-2016-ll-29.vssettings

C:\Users\admin\Documents\Visual Studio 2013\Settings\CurrentSettings.vssettings

Перевод записки на русский язык: 

Все ваши файлы зашифрованы.

Чтобы разблокировать их, отправьте 1 биткойн на BTC-адрес: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1 После этого,

я прошу отправить ID вашей транзакции по адресу: this.email.address@gmail.com

Спасибо и хорошего дня! Журнал шифрования:

***

Запиской с требованием выкупа также выступает экран блокировки: 

Содержание текста с экрана: 

RIP lmao

Your files (count: 5) have been encrypted!

In order to recover your data...

Please send 1 Bitcoin(s) to the following BTC address:

1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1

Next, E-mail your transaction ID to the following address:

this.email.address@qmail.com

Перевод текста на русский язык: 

RIP lmao

Ваши файлы (число: 5) зашифрованы!

Чтобы восстановить ваши данные ...

Отправьте 1 биткойн (-а) на следующий адрес BTC:

1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1

Затем отправьте свой ID транзакции на следующий email:

this.email.address@qmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
___RECOVER__FILES__.jcrypt.txt - название файла с требованием выкупа

svchost.exe - название вредоносного файла

Microsoft Corporation.exe - название вредоносного файла

WindowsFormsApp1.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: this.email.address@gmail.com

Email: get.back.3355@gmail.com

BTC: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1

BTC: 1FKRDDf4gtJxhxjQvMg7kJy7QT1Pwm9A6U

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26 января 2021 или раньше: 

Сообщение >>

Расширение: .jcrypt

Записка:_RECOVER__FILES__.jcrypt.txt

Email: Clay_whoami_1@protonmail.ch

BTC: 1QD3AHS58SW8Hy4tmNLwh3xEVe345dj4ZG

Результаты анализов: VT 

Вариант от 18-27 января 2021: 

Сообщение >>

Расширение: .locked

Записка:___RECOVER__FILES__.locked.txt

Email: danielthai101514@gmail.com, friendly.cyber.criminal@gmail.com

BTC: 1BtUL5dhVXHwKLqSdhjyjK9Pe64Vc6CEH1

Файл: WindowsFormsApp1.exe

Результаты анализов: VT + VMR + IA + HA + TG

➤ Обнаружения: 

ALYac -> Trojan.GenericKD.36171502

Avira (no cloud) -> HEUR/AGEN.1137051

BitDefender -> Trojan.GenericKD.36171502

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN

Qihoo-360 -> Generic/Trojan.Ransom.5a0

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R002H0AAI21

Вариант от 6 февраля 2021: 

Сообщение >>

Расширение: .daddycrypt

Записка: ___RECOVER__FILES__.daddycrypt.txt

Email: troll22118@gmail.com

Файл: WindowsFormsApp1.exe

Результаты анализов: VT

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33462

Avira (no cloud) -> TR/Ransom.hmjvr

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN

Malwarebytes -> Generic.Malware/Suspicious

Symantec -> ML.Attribute.HighConfidence

Tencent -> Msil.Trojan.Gen.Efar

TrendMicro -> CallTROJ_GEN.R002H09B621

 

Вариант от 24 февраля 2021: 

Сообщение >>

Расширение: .jcrypt

Записка: ___RECOVER__FILES__.jcrypt.txt

Email: exploitvenus@gmail.com

BTC: bc1q4r4kjrer2l0j0ahlh5cfua3kja0n7cj90u3wcv

Файлы: CORRUPT2.exe, CORRUPT.exe, norm9.wav

Расположения файлов: 

C:\Users\ardak\source\repos\SPREADTHERANSOMWARE\WindowsFormsApp1\obj\Debug\SPREADTHECORRUPTION.pdb

URL: 

xxxx://download1477.mediafire.com/c6z2vzndaxrg/6arkyjujxhtdd0a/norm9.wav

URL: xxxxs://github.com/MALWARECODING/goi/raw/main/CORRUPT2.exe

Результаты анализов: VT + IA + TG + HA

➤ Обнаружения: 

DrWeb -> Trojan.EncoderNET.31373

ALYac -> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.bzuzu

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEN

Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen

Malwarebytes -> Ransom.FileCryptor.Generic

Microsoft -> Trojan:Win32/Ymacco.AA5E

Qihoo-360 -> Win32/Trojan.Generic.HgIASPsA

Rising -> Ransom.DaddyCrypt!1.D2A1 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R002H09BO21

Вариант от 16 марта 2021: 

Сообщение >>

Расширение: .omero

Записка: ___RECOVER__FILES__.omero.txt

Результаты анализов: VT + IA + VT

Вариант от 22 марта 2021: 

Сообщение >>

Расширение: .ncovid

Email: Ciastko.zlukrem@gmail.com

Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as JCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.