Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 27 декабря 2020 г.

Lockedv1, Gehenna

Lockedv1 Ransomware

Gehenna Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: windows-update-CVE-wFW.exe. Язык программирования: Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33347, Trojan.Encoder.33793
Avira (no cloud) -> TR/AD.RansomHeur.aiqat
BitDefender -> Trojan.GenericKD.45208383
ESET-NOD32 -> A Variant Of Win32/Filecoder.NVZ
Microsoft -> Trojan:Win32/Wacatac.B!ml
Qihoo-360 -> Win32/Trojan.a26 
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Filecoder.Wqcn
TrendMicro -> TROJ_GEN.R002H0DLR20
---

© Генеалогия: ✂️ MauriGo >> Lockedv1 > Gehenna

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lockedv1
Имена зашифрованный файлов переименовываются. 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность раннего варианта этого крипто-вымогателя пришлась на конец декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: READMEV1.txt


Содержание записки о выкупе: 
How to decrypt: 
Download Tor Browser (https://www.torproject.org/dist/torbrowser/10.0.7/torbrowser-install-10.0.7_en-US.exe) and install. 
Open http://decryptu7o2cckt5.onion with Tor Browser. 
Paste yor KEY 03b76-1c61afa6b-ca44645589-***** and follow instructions
Your KEY
03b76-1c61afa6b-ca44645589-*****

Перевод записки на русский язык: 
Как расшифровать:
Загрузите Tor-браузер (https://www.torproject.org/dist/torbrowser/10.0.7/torbrowser-install-10.0.7_en-US.exe) и установите.
Откройте http://decryptu7o2cckt5.onion в браузере Tor.
Вставьте КЛЮЧ 03b76-1c61afa6b-ca44645589-***** и следуйте инструкциям.
Твой КЛЮЧ
03b76-1c61afa6b-ca44645589-*****


Скриншоты Tor-сайта вымогателей: 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Обходит UAC. 
➤ Удаляет теневые копии файлов. 
➤ Использует сертификаты X.509. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READMEV1.txt - название файла с требованием выкупа, добавляется в Автозагрузку системы; 
windows-update-cve-wfw.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\windows-update-cve-wfw.exe
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READMEV1.txt
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows-update-cve-wfw.exe



Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://decryptu7o2cckt5.onion
Email: - 
BTC: 1GoiZyKiJCrjjrkxoDnFRiSaxbGUDpfF4D
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 9 апреля 2021: 
Самоназвание варианта: Gehenna Locker
Расширение: .gehenna
Примеры замены имени после шифрования: Chrysanthemum.jpg -> Q2hyeXNhbnRoZW11bS5qcGc=.gehenna
Записка: GEHENNA-README-WARNING.html
Email: ferrari@msgsafe.io, bannedlands@msgsafe.io
Результаты анализов: VT + IA / VT + IA
---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33793, Trojan.Encoder.33795, Trojan.Agent.FFJK
BitDefender -> Generic.Ransom.Snatch.5D7157A7
ESET-NOD32 -> A Variant Of Win32/Filecoder.NVZ, A Variant Of Generik.MDZFZML
Malwarebytes -> Malware.Heuristic.1003
Microsoft -> Trojan:Win32/Glupteba!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Risk.Generic.Wptd

Сравнение первого и второго вариантов. В основном тот же код.
Похоже, они переименовали некоторые символы из проекта с открытым исходным кодом и скомпилировали x86 vs x64. 


Вариант от 23 апреля 2021:
Расширение: .gehenna
Записка: GEHENNA-README-WARNING.html
Email: bannedlands@msgsafe.io
Файл: gh1.exe
Результаты анализов: VT + AR

➤ Содержание записки:
!!!!!MESSAGE FROM GEHENNA LOCKER!!!!!
Little FAQ:
.1.
Q: Whats Happen?
A: ALL Your files (docs,databases,musics,videos,...etc) have been encrypted and now have the "gehenna" extension. The file structure was not damaged, we did everything possible so that this could not happen.
.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay in bitcoins.
.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us not more than 2 files with low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.
.4.
Q: How to contact with you?
A: You can write us to our mailbox: bannedlands@msgsafe.io
RECOMMENDED:: visit our page https://pastebin.com/raw/FFHz0HU1
Send Your ID to us.
YOUR ID::
13559d855495a6c4d8c2f056d13a44f03c05fd766fabe88058***[всего 1024 знака]
5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our special decryption program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files safely.
.6.
Q: If I don’t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.
:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files! Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.
!!!!!!!!!!
IT IS IMPOSSIBLE TO GET YOUR FILES BACK WITHOUT OUR SPECIAL DECRYPTION TOOL





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as MauriGo)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Ravi, Michael Gillespie
 Andrew Ivanov (article author)
 Petrovic
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 26 декабря 2020 г.

FiveHands

FiveHands Ransomware

FiveHandsCrypt Ransomware

HelloKitty-FiveHands Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + 
NTRUEncrypt, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ionline.exe. FiveHands, как и HelloKitty, написан на C++, но использует больше функций из стандартной библиотеки шаблонов C++ (STL). 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33428
BitDefender -> Gen:Variant.Zusy.366866
ALYac -> Trojan.Ransom.DEATHRansom
Avira (no cloud) -> TR/Redcap.kgozg
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.E
Kaspersky -> HEUR:Trojan.Win32.Udochka.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/CryptoLocker!MSR
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11bb6476
TrendMicro -> Ransom.Win32.CRYPTOLOCKER.D
---

© Генеалогия: DeathRansom >> 
HelloKittyFiveHands 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2020 - начало января 2021 г. и далее. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: DECRYPT_NOTE.txt


Содержание записки о выкупе:
Hello ***
Congratulations!
This PC hacked.
Some data has been stored in our servers and ready for publish.
Content of your files has been successfully encrypted with unique public key.
To restore your files you need buy official decryptor with unique private decription key.
Contact with us to get decryptor using TOR browser (https://www.torproject.org/) and your personal contact link in TOR network below.
IMPORTANT:
Don't modify encrypted files or you can damage them and decryption will be impossible!
To contact with us you have ONE week from the encryption time, after decryption keys and your personal contact link will be deleted automaticaly. Stored information can be publish.
Thanks for undestanding.
Best regards.
Your personal contact link:
http://decrypts3nln3tic.onion/secret/18ebdc51148b7c55b451a7d070d***

Перевод записки на русский язык:
Привет ***
Поздравляю!
Этот ПК взломан.
Некоторые данные хранятся на наших серверах и готовы к публикации.
Содержимое ваших файлов успешно зашифровано с уникальным открытым ключом.
Для восстановления файлов вам надо купить официальный дешифратор с уникальным закрытым ключом дешифрования.
Контакт с нами, чтобы получить дешифратор, используя браузер TOR (https://www.torproject.org/) и вашу личную контактную ссылку в сети TOR ниже.
ВАЖНО:
Не изменяйте зашифрованные файлы, иначе вы можете повредить их и будет невозможно расшифровать!
Для связи с нами у вас есть ОДНА неделя с момента шифрования, потом  ключи дешифрования и ваша личная контактная ссылка автоматически удалятся. Сохраненная информация может быть публикована. 
Спасибо за понимание.
Лучшие пожелания.
Ваша личная контактная ссылка:
http://decrypts3nln3tic.onion/secret/18ebdc51148b7c55b451a7d070d***


Когда Tor-ссылка ещё работала можно было видеть, что на странице чата поддержки использовалась иконка Kitty




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Подробности шифрования
FiveHands использует встроенный открытый ключ NTRU. Он хеширован SHA512, а первые 32 байта используются в качестве идентификатора жертвы в записке с требованием выкупа. Этот публичный ключ NTRU также используется для шифрования симметричного ключа каждого файла. FiveHands для симметричного ключа использует встроенную процедуру генерации для создания 16 случайных байтов, используемых для AES-ключа для шифрования каждого файла. 
После того, как каждый файл зашифрован, исходный размер файла, магическое значение DE C0, AD BA и ключ AES зашифровываются с помощью открытого ключа NTRU и добавляются к файлу. Четыре магических байта DB DC CC AB добавляются в конец зашифрованного файла. FiveHands включает дополнительный код, которого нет у его предшественников DeathRansom и HelloKitty, чтобы использовать диспетчер перезапуска Windows для закрытия файла, который используется в данный момент, чтобы его можно было разблокировать и успешно зашифровать. 
Поток и последовательность шифрования FiveHands сильно отличается от DeathRansom и HelloKitty, потому что он включает асинхронные запросы ввода-вывода и использует разные встроенные библиотеки шифрования.
В отличии от DeathRansom и HelloKitty, в FiveHands использьзуется дроппер, работающего только с памятью, который при выполнении ожидает, что в командной строке будет указано значение -key, за которым следует значение ключа, необходимое для расшифровки его полезной нагрузки. 
Полезная нагрузка сохраняется и шифруется с помощью AES-128 с использованием IV «85471kayecaxaubv». Расшифрованная полезная нагрузка сразу же выполняется. 

➤ FiveHands не проверяет языковой идентификатор или раскладку клавиатуры, потому может атаковать по всему миру. FiveHands не проверяет мьютекс, потому файлы могут повторно шифроваться. 

Сравнительная таблица разных функций для FiveHands - HelloKitty - DeathRansom 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Исключаемые из шифрования файлы и папки:
programdata
windows
all users
winnt
appdata
application data
local settings
boot
ntldr
iconcache.db
thumbs.db

Файлы, связанные с этим Ransomware:
DECRYPT_NOTE.txt - название файла с требованием выкупа; 
ionline.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://decrypts3nln3tic.onion/secret/***
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >> 
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

DeathRansom Ransomware - ноябрь 2019 - август 2020 
другие варианты - в течении 2020
TechandStrat Ransomware - октябрь 2020
HelloKitty Ransomware - ноябрь 2020 и далее
FiveHands Ransomware - декабрь 2020 - январь 2021 и далее


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 27 января 2021:
Расширение: .crypt
Записка: DECRYPT_NOTE.txt
Tor-URL: decrypts3nln3tic.onion
Результаты нализов: VT + TG + IA


Вариант от 27 марта2021:
Самоназвание в записке: HellKitty
Расширение: .crypt
Записка: DECRYPT_NOTE.txt
Tor-URL: decrypts3nln3tic.onion
Результаты нализов: VTIA + HA + TG


➤ Содержание записки:
Hello THE AKA GROUP
Your network was hacked! Files are encrypted by HellKitty!
Data from your servers was dumped!
At now this incident is a secret!
To resolve this situation and decrypt files please contact us using TOR browser (https://www.torproject.org/) and your personal contact link in TOR network below.
We will wait contact us within the next 3 days.
In case of your disregard, we reserve the right to dispose of the dumped data at our discretion including publishing.
IMPORTANT: Don't modify encrypted files or you can damage them and decryption will be impossible!
Sorry for the inconvenience, it just business.
Best Regards.
Personal contact link: 
http://decrypts3nln3tic.onion/secret/53102f60dbbcb576563950***





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as HelloKitty)
 Write-up, Write-up, Write-up, Topic of Support
 
Added later: 
Write-up (DeathRansom, HelloKitty, FiveHands)
Analysis Report (FiveHands Ransomware)
 Thanks: 
 FireEye, BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 25 декабря 2020 г.

16x

16x Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует отправить на email код, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 16x.exe.
---
Обнаружения:
DrWeb -> Trojan.Packed.193
ALYac -> Trojan.Ransom.Filecoder
BitDefender -> Trojan.GenericKD.35873483
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.HFL
Kaspersky -> Trojan-Ransom.Win32.Agent.azfs
Malwarebytes -> Trojan.MalPack.Themida
Microsoft -> Trojan:Win32/CryptInject!ml
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: ??? >> 16x

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .16x
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает следующий экран. Изображение черепа "оживает", как бы говорит текст. 


Содержание записки о выкупе: 
Hello, my friend, it's nice to meet you, don't ask me who I am, I'm not a hacker, the first time I met you brought trouble, I'm sorry! Because your programming source file is encrypted by me! Without my password, your source files will not be unlocked, do not try to crack, otherwise your source files will be automatically deleted!
Please send your code to: [3475857701@qq.com]
Your Order Number: ***
Password:_

Сообщение после расшифровки:
Hello, my friend, your data has been recovered. I hope we don't see each other next time!

Перевод записки на русский язык:
Привет, друг мой, приятно познакомиться, не спрашивай, кто я, я не хакер, первая встреча с тобой принесла неприятности, извини! Потому что твой исходный файл программирования зашифрован мной! Без моего пароля твои исходные файлы не будут разблокированы, не пытайся взломать, иначе твои исходные файлы будут автоматически удалены!
Отправь свой код на: [3475857701@qq.com]
Номер твоего заказа: ***
Пароль:_

Перевод сообщения после расшифровки:
Привет, друг мой, твои данные восстановлены. Надеюсь, в следующий раз мы не увидимся!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
16x.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 3475857701@qq.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as 16x)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jirehlov Solace, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mijnal

Mijnal Ransomware

MIJNAL Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CRYPTO-LOCKER MIJNAL. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33340
BitDefender -> Trojan.GenericKD.45163579
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Kryptik.fgsxo
ESET-NOD32 -> A Variant Of MSIL/Kryptik.ZCN
Kaspersky -> HEUR:Trojan.MSIL.Hesv.gen
Malwarebytes -> Trojan.Crypt.MSIL.Generic
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Hesv.Wqnk
TrendMicro -> TROJ_GEN.R002H0CLP20
---

© Генеалогия: ??? >> Mijnal

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mijnal


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README_LOCK.TXT


Содержание записки о выкупе:
#####################################################
######### ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ###########
############# ПОЖАЛУЙСТА ПРОЧТИТЕ ЭТО ###############
###### ЕСЛИ ВЫ ХОТИТЕ ВОССТАНОВИТЬ ВСЕ ФАЙЛЫ ########
#####################################################

+++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++ !!! ВАЖНО !!! ++++++++++++++++++++++
+++++ Не переименовывайте зашифрованные файлы. ++++++
++ Не пытайтесь расшифровать ваши данные с помощью ++
+++ стороннего программного обеспечения, это может ++
+++++++++ привести к полной потере данных. ++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++++
Чтобы получить дешифратор для расшифровки, сделайте так
-
>> откройте файл OpenTheTorBrouser.html ТОЛЬКО В БРАУЗЕРЕ TOR
>> если не установлен этот браузер - скачайте его отсюда:
>> https://www.torproject.org/ru/download/ (версия для Windows)
>> затем установите браузер и откройте OpenTheTorBrouser.html
>> вас переадресует на страницу с инструкциями - следуйте им

#####################################################
############### CRYPTO-LOCKER MIJNAL ################
#####################################################
############ СПИСОК ЗАШИФРОВАННЫХ ФАЙЛОВ ############
-----------------------------------------------------

Перевод записки на русский язык:
Уже сделан. 

Другим информатором жертвы выступает Tor-сайт: 



Текст на веб-сайте: 
Оплатить в BTC
1. Запишите идентификатор платежа - он вам еще пригодиться.
2. Нажмите Оплатить: вас перебросит на страницу оплаты.
3. Произведите оплату: указанная сумма на указанный кошелек.
4. После оплаты вернитесь на предыдущую страницу и перейдите в чат.
5. Откройте новую переписку, указав ваш идентификатор платежа.
Внимание: агрегатор системы оплаты добавит небольшую комиссию.
    Идентификатор платежа : 5fe5ae5a58***
    Сумма оплаты :   $
    [Оплатить]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Список деструктивных команд, кроме шифрования:
Похищает учетные данные. 
Читает куки-файлы Google Chrome. 
Пытается удалить файл хоста. 
Изменяет значение автозапуска в реестре. 
Запускает BCDEDIT.EXE для отключения восстановления. 
Удаляет теневые копии. 
Запускает CMD.EXE для выполнения команд. 
Создает файлы в каталоге пользователя. 
Создает файлы в каталоге драйверов. 
Удаляет файл со недавней датой компиляции. 
Удаляет файлы из каталога Windows. 
Создает файлы в каталоге Windows. 
Создает файлы в каталоге программы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_LOCK.TXT - название файла с требованием выкупа
OpenTheTorBrouser.html - файл для перенаправления на Tor-сайт
Wbadmin.1.etl
KEY.FILE
xhome.exe - название вредоносного файла
OCCT.exe - название вредоносного файла


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\xhome.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://vy2hwfycbtogtmxlz3cfdvjk5jai6rlxzz2dseegeuckqmjgia6vxhyd.onion/index.php
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Mijnal)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jirehlov, Emmanuel_ADC-Soft
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *