Afrodita Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA, а затем требует связаться с вымогателями через аккаунт в Telegram, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Afrodita. На файле написано: нет данных. Использует библиотеку Crypto++. Разработчик: Afrodita Team.
Обнаружения:
DrWeb -> Trojan.Encoder.30535
BitDefender -> Gen:Variant.Graftor.415704
Symantec -> Downloader, ML.Attribute.HighConfidence
ESET-NOD32 -> A Variant Of Win32/Filecoder.Afrodita.C, VBA/TrojanDownloader.Agent.BNC, A Variant Of Win32/Filecoder.Afrodita.D
Microsoft -> Trojan:Win32/Wacatac.B!ml
VBA32 -> BScope.Trojan.Casur
Rising -> Ransom.Encoder!8.FFD4 (CLOUD), Heur.Macro.Downloader.f (CLASSIC)
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: LockerGoga >> Afrodita
Изображение — логотип статьи
К зашифрованным файлам никакое расширение не добавляется.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало января 2020 г. Сообщается, что в конце 2019 года уже была некоторая активность. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: __README_RECOVERY_.txt
Содержание записки о выкупе:
~~~ Greetings ~~~
[+] What has happened? [+]
Your files are encrypted, and currently unavailable. You are free to check.
Every file is recoverable by following our instructions below.
Encryption algorithms used: AES256(CBC) + RSA2048 (military/government grade).
[+] Guarantees? [+]
This is our daily job. We are not here to lie to you - as you are 1 of 10000's.
Our only interest is in us getting payed and you getting your files back.
If we were not able to decrypt the data, other people in same situation as you
wouldn't trust us and that would be bad for our buissness --
So it's not in our interest.
To prove our ability to decrypt your data you have 1 file free decryption.
If you don't want to pay the fee for bringing files back that's okey,
but remeber that you will lose a lot of time - and time is money.
Don't waste your time and money trying to recover files using some file
recovery "experts", we have your private key - only we can get the files back.
With our service you can go back to original state in less then 30 minutes.
[+] Service [+]
If you decided to use our service please follow instructions below.
Contact us:
Install Telegram(available for Windows,Android,iOS) and contact us on chat:
Telegram contact: xxxxs://t.me/RecoverySupport
Also available at email afroditateam@tutanota.com cc: afroditasupport@mail2tor.com
Make sure you are talking with us and not impostor by requiring free 1 file decryption to make sure we CAN decrypt!!
������������������������������������������������������������������
Перевод записки на русский язык:
~~~ Привет ~~~
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить.
Каждый файл можно восстановить, следуя нашим инструкциям ниже.
Используемые алгоритмы шифрования: AES256 (CBC) + RSA2048 (военный/правительственный уровень).
[+] Гарантии? [+]
Это наша ежедневная работа. Мы здесь не для того, чтобы лгать вам - вы 1 из 10000-х.
Наш единственный интерес в том, чтобы нам платили, а вы возвращали свои файлы.
Если бы мы не смогли расшифровать данные, другие люди, находящиеся в такой же ситуации, как вы, не доверяли бы нам, и это было бы плохо для нашего бизнеса -
Так что это не в наших интересах.
Чтобы доказать нашу способность расшифровать ваши данные, у вас есть 1 файл бесплатной расшифровки.
Если вы не хотите платить за возврат файлов, это нормально,
но помните, что вы потеряете много времени - а время это деньги.
Не тратьте свое время и деньги, пытаясь восстановить файлы с помощью "экспертов" по ??восстановлению файлов, у нас есть ваш закрытый ключ - только мы можем получить файлы обратно.
С нашим сервисом вы можете вернуться к исходному состоянию менее чем за 30 минут.
[+] Сервис [+]
Если вы решили воспользоваться нашим сервисом, пожалуйста, следуйте инструкциям ниже.
Связаться с нами:
Установите Telegram (доступно для Windows, Android, iOS) и свяжитесь с нами в чате:
Контакт телеграммы: xxxxs://t.me/RecoverySupport
Также доступно по email afroditateam@tutanota.com cc: afroditasupport@mail2tor.com
Убедитесь, что вы разговариваете с нами, а не c самозванцем, требуя бесплатную расшифровку одного файла, чтобы убедиться, что мы МОЖЕМ расшифровать!
***
---
После основного текста имеются символы в кодировке UCS-2 Little Endian. Если открыть записку в программе Notepad++ и конвертировать в UTF-8, то можно увидеть эту белиберду.
Вот как это будет выглядеть после "танцев с бубном", т.е. с Notepad++.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений. Ранние сообщения о вредоносных вложениях были их Хорватии, см. скриншоты писем на хорватском языке.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.3DS, .3FR, .3PR, .AB4, .AC2, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACR, .ADB, .AGD1, .AIT, .APJ, .APK, .ARCH00, .ARW, .ASM, .ASP, .ASSET, .AVI, .AWG, .BACKUP, .BACKUPDB, .BAK, .BAR, .BAY, .BC6, .BC7, .BDB, .BGT, .BIG, .BIK, .BKF, .BKP, .BLEND , .BLOB, .BMP, .BPW, .BSA, .CAS, .CDF, .CDR, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CDX, .CE1, .CE2, .CER, .CFP, .CFR, .CGM, .CIB, .CLASS , .CLS, .CMT, .CPI, .CPP, .CR2, .CRAW, .CRT, .CRW, .CSH, .CSL, .CSS, .CSV, .D3DBSP, .DAC, .DAS, .DAT, .DAZIP , .DB0, .DB3, .DBA, .DBF, .DB-JOURNAL, .DC2, .DCR, .DCS, .DDD, .DDOC, .DDRW, .DER, .DESC, .DESIGN, .DGC, .DJVU, .DMP, .DNG, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DRF, .DRW, .DWG, .DXB, .DXF, .DXG, .EPK, .EPS, .ERBSQL, .ERF, .ESM, .EXF, .EXIF, .FDB, .FFD, .FFF, .FHD, .FLV, .FORGE , .FOS, .FPK, .FPX, .FSH, .FXG, .GDB, .GHO, .GIF, .GRAY, .GREY, .GRY, .HBK, .HKDB, .HKX, .HPLG, .HPP, .HTM, .HTML, .HVPL, .IBANK , .IBD, .IBZ, .ICXS, .IDX, .IIQ, .INCPAS, .INDD, .ITDB, .ITL, .ITM, .IWD, .IWI, .JAVA, .JFIF, .JPE, .JPEG, .JPG, .KC2, .KDB, .KDBX, .KDC, .KPDX, .LAYOUT, .LBF, .LITEMOD, .LRF, .LTX, .LUA, .LVL, .M3U, .M4A, .MAP, .MCMETA, .MDB, .MDBACKUP, .MDC, .MDDATA, .MDF, .MEF, .MENU, .MFW, .MKV, .MLX, .MMW, .MONEYWELL , .MOS, .MOV, .MP3, .MP4, .MPG, .MPQGE , .MRW, .MRWREF, .MSG, .MYD, .NCF, .NDD, .NEF, .NOP, .NRW, .NS2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .NTL, .NWB, .NX1, .NX2, .NYF, .ODB, .ODC, .ODF, .ODG, .ODM, .ODP, .ODS, .ODT, .ORF, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PAK, .PAT, .PCD, .PDD, .PDF, .PEF, .PEM, .PFX, .PHP, .PKPASS, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSAFE3, .PSD, .PSK, .PST, .PTX, .QDF, .QIC, .R3D, .RA2, .RAF, .RAR, .RAW, .RDB, .RE4, .RGSS3A, .RIM, .ROFL, .RTF, .RW2, .RWL, .RWZ, .S3DB, .SAS7BDAT, .SAV, .SD0, .SD1, .SDA, .SDF, .SID, .SIDD, .SIDN, .SIE, .SIS, .SLDM, .SLDX, .SLM, .SLN, .SNX, .SQL, .SQLITE, .SQLITE3, .SQLITEDB, .SR2, .SRF, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .STD, .STI, .STW, .STX, .SUM, .SVG, .SXC, .SXD, .SXG, .SXI, .SXM, .SXW, .SYNCDB, .T12, .T13, .TAX, .TOR, .TXT, .UPK, .VCF, .VDF, .VFS0, .VPK, .VPP_PC, .VTF, .W3X, .WALLET, .WB2, .WMA, .WMO, .WMV, .WOTREPLAY , .WPD, .WPS, .X3F, .XLA, .XLAM, .XLK, .XLL, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XXX, .YCBCRA, .ZIP, .ZTMP (360 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Перезаписывается заголовок зашифрованного файла неким кодом.
Пропускаются системные и программные директории:
Windows
Program Files
Program Files (x86)
ProgramData
AppData
All Users
и другие
Файлы, связанные с этим Ransomware:
__README_RECOVERY_.txt
notnice.jpg {DLL/EXE}
<random>.exe - случайное название вредоносного файла
Afrodita.dll
client-encrypted-private.key
client-public.key
main-public.key
_uninsep.bat
Ponuda-2020-0231.xlsm - email-вложение на хорватском языке
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
F:\Work\x_Projects\Afrodita - VS2019\Afrodita\cryptopp\rijndael_simd.cpp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютекс:
835821AM3218SAZ
Сетевые подключения и связи:
Email: afroditateam@tutanota.com, afroditasupport@mail2tor.com
Telegram: @RecoverySupport
См. ниже результаты анализов.
Результаты анализов:
☣️ VX Vault samples >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 18 февраля 2020:
Пост в Твиттере >>
Расширение: -
Записка: READM3_AFR0DITA_REC0VERY.txt
Telegram: xxxxs://t.me/Recoverysupport
Email afroditateam@tutanota.com, afroditateam@firemail.cc
Результаты анализов (Afrodita.dll): VT + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tw + Tw + Tw + myTweet ID Ransomware (ID as Afrodita) Write-up, Topic of Support
Thanks: James, KorbenD, S!Ri, GrujaRS, Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
