Если вы не видите здесь изображений, то используйте VPN.

среда, 1 января 2020 г.

Erica

Erica Ransomware

Erica-2 Ransomware

Aliases: Erica2020, Erica Encoder

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Erica Encoder. На файле написано: scr.scr и aqv33d4b.exe или чтот-то иное. Направлен против крупных компаний. Обещают восстановить файлы бесплатно, если пострадавший будет из России, Казахстана, Украины. , Вероятно, 
распространяется из Украины, т.к. в некоторых записках используется украинский язык. 

Обнаружения:
DrWeb -> Trojan.Inject3.32197, Trojan.Inject3.32410, Trojan.Encoder.30826, Trojan.Encoder.30998, Trojan.Encoder.33259, Trojan.Encoder.33260
BitDefender -> Gen:Variant.Barys.6125
Symantec -> ML.Attribute.HighConfidence, Trojan.Horse
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of MSIL/Injector.YN, A Variant Of MSIL/Injector.AEC, A Variant Of Win32/Filecoder.OES
McAfee -> PWSZbot-FACM!2F21AF3173D0
---

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — оригинальный логотип

К зашифрованным файлам добавляется расширение: .<random> или .<random{4}>

Примеры таких расширений: 
.usnr
.0gzo
.juem
.kanv

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был обнаружен в начале января 2019 г. Ориентирован на русскоязычных и украиноязычных пользователей, что не мешает распространять его по всему миру. В текстовой записке много раз повторяется слово "TEST". В конце записки есть короткий текст на украинском языке, таким образом, это подытоживание может означать, что Erica2020 сделан в Украине и распространяется против российских пользователей. 

Записка с требованием выкупа называется: HOW TO RESTORE ENCRYPTED FILES.TXT

Содержание записки о выкупе:
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST
TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST

ПОЗДРАВЛЯЕМ ВАС С НОВЫМ 2020 ГОДОМ И НАДЕЕМСЯ, ЧТО В ЭТОМ ГОДУ У ВАС БУДЕТ МНОГО ДЕНЕГ, КОТОРЫМИ ВЫ ПОДЕЛИТЕСЬ С НАМИ
К сожалению все Ваши файлы были зашифрованы
Мы можем Вам помочь, но Вам придётся платить

-----BEGIN ERICA KEY-----
OxB1KiKzmU/oYuTplW67Gz3aIDbB9Xbw+Mg2ZowxgzPdzPKswcZ3f36hC1V3yHJv*** [всего 1624 знаков]
-----END ERICA KEY-----

Напишите Нам на почту, если Вы заинтересованы в возврате своих файлов
erica2020@protonmail.com
Роби вчасно бекапи, невдаха

Перевод записки на русский язык:
Основной текст уже на русском языке, кроме последней фразы, которая на украинском языке. 



Роби вчасно бекапи, невдаха - на украинском
Делай вовремя бэкапы, неудачник - перевод на русский
Need doing backups on schedule, loser - правильный перевод на английский





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
scr.scr (scr.scr.exe)
HOW TO RESTORE ENCRYPTED FILES.TXT
<random>.exe - случайное название вредоносного файла
aqv33d4b.exe - написано на файле
aqv33d4b.pdb - оригинальное название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\2\aqv33d4b.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: erica2020@protonmail.com
erica_files@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT (decryptor) >
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4 января 2020:
Самоназвание: Erica Encoder 2.0.1
Расширение: .<random> или .<random{6}>
Примеры таких расширений: .g37y17 или .0ilfzr или .guudyk
При этом оригинальное имя файла кодируется. 
Пример зашифрованного файла: Q3J2c22wYWRNZXRy1WNzLWFjdGl2ZS5w3WE9.g37y17
Записка: HOW TO RESTORE ENCRYPTED FILES.TXT
Email: erica_files@protonmail.com
Файл: fabian_sosarc.exe
Оригинальное название проекта: 
C:\Users\Administrator\AppData\Local\Temp\2\ywb3frg1.pdb
Результаты анализов: VT + AR + VMR
➤ Содержание записки:
Erica Encoder 2.0.1
И снова здравствуйте :*
І знову здрастуйте
Мы знаем, что Вы очень по Нам скучаете и решили сделать Вам подарок
Мы не работаем по России, Украине и Казахстану
Key:
QcHz6+bGyO1mQ5JLIpOcTFtk65S2cHfkvTg5wNG32V6eaKz***  [всего 1624 знака]
Если Вы хотите восстановить свои никчёмные файлы, то пишите на Нашу почту и Мы ответим Вам
ZXJpY2FfZmlsZXNAcHJvdG9ubWFpbC5jb20= (Base64)  <- erica_files@protonmail.com
Передаём привет Фабиану Сосару 1:0 и остальным умственно отсталым :*

Вариант от 22 января 2020:
Erica 2.0.2
Расширение: .<random> или .<random{8}>
Пост на форуме >>
Записка: READ_THIS_FILE.TXT
➤ Содержание записки:
If you want to return the files, then write to my email and I will return the files to you
->ZXJpY2FfZnJlZUBwcm90b25tYWlsLmNvbQ==(Base64)<-
Erica 2.0.2
Welcome. Again. I've run out of money and I'm only doing this for them..
There are fewer and fewer people in the team and I don't see any point in doing this anymore, but I have a very difficult financial situation right now..
I'm not asking for a large amount, but if you want, I'll restore your files for free
-----BEGIN PRIVATE ERICA KEY-----
+k10AUZS6V2AJ90+dGcA14JnCdA2Df043HDsfbzq32jhBcza742AJ90+dGcA14JnCdA2Df043HDs***  [всего 1891 знака]
-----END PRIVATE ERICA KEY-----


Вариант от 25 января 2020:
Erica Test Build - некая тестовая сборка. 
Пост в Твиттере >>
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .87v-j7q-w2x
Записка: HOW TO RESTORE ENCRYPTED FILES.TXT
Email: erica_affiliate@protonmail.com
Файлы: girl.rar, girl.scr
Результаты анализов: VT + AR + VMR
➤ Содержание записки:
# Erica Test Build
# Affiliate program will be available soon
# Key(Do not change it):
3Kz0873GlO33b2m3wGu963xpsc97XI2dYw2iOBKemg0xv96KVIsw [всего 900 знаков]
# We work against large companies (We promise to restore your files if you are from Russia, Kazakhstan, Ukraine)
# You do not have time limits, but if you want to restore files, then pay $$$
# ZXJpY2FfYWZmaWxpYXRlQHByb3Rvbm1haWwuY29t (Base64)  <- erica_affiliate@protonmail.com


Вариант от 31 января 2020:
Версия: 3.0.1
Пост в Твиттере >>
Расширение не добавляется
Записка: [#]Erica - HOW TO DECRYPT MY FILES[#].txt
Email: emsisoft_cve@protonmail.com
Результаты анализов: VT + VMR + AR + IA
 


Вариант от 2 февраля 2020:
Расширение: .xxx-xxx-xxx
Записка: отсутствует
Результаты анализов: VT + VT + AR
Обнаружения:
DrWeb -> Trojan.Encoder.30826
BitDefender -> Trojan.GenericKD.32989208
Avira (no cloud) -> TR/FileCoder.pzcab
Tencent -> Win32.Trojan.Encoder.Jme
TrendMicro -> TROJ_GEN.R002C0PB220
VBA32 -> BScope.Trojan.Wacatac


Вариант от 12 февраля 2020:
Erica Test Build - еще одна тестовая сборка. 
Пост в Твиттере >>
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .61v-kpe-ydx
Записка (шаблон): Recover my .xxx-xxx-xxx files.TXT
Записка (пример): Recover my .61v-kpe-ydx files.TXT
Обещают восстановить файлы пользователям из России, Казахстан, Украины
➤ Содержание записки:
# Erica Test Build
# Affiliate program will be available soon
# Extension: .61v-kpe-ydx
# Key(Do not change it):
qTR5Kn5YBuBj35OTuITKGboo1yeBnMzKqYB8b9lmzYkKRou***
# We work against large companies (We promise to restore your files, if you are from Russia, Kazakhstan, Ukraine)
# You do not have time limits, but if you want to restore files, then pay $$$
# ZXJpY2FfYWZmaWxpYXRlQHByb3Rvbm1haWwuY29t(Base64)
---
Файл: unpacked.exe
Результаты анализов: VT + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.30998
BitDefender -> Trojan.GenericKD.42574236
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAM
Malwarebytes -> Ransom.Erica
TrendMicro -> Ransom_Encoder.R002C0WBE20




Вариант от 15 февраля 2020:
Пост в Твиттере >>
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .4rg-d4m-rs6
Записка (шаблон): Recover my .xxx-xxx-xxx files.TXT
Записка (пример): Recover my .4rg-d4m-rs6 files.txt
Результаты анализов: VT + VMR + IA


Вариант от 17 февраля 2020:
Результаты анализов: VT + VMR + IA


Вариант от 26 ноября 2020:
Расширение: .<random{6}>
Результаты анализов: VT + AR + TG 


Вариант от 27 ноября 2020:
Расширение: .<random{6}>
Результаты анализов: VT + IA + AR + TG
Результаты анализов: VT + IA + AR + TG


Варианты от 3 февраля 2021:
Расширение (шаблон): .xxx-xxx-xxx
Расширение (пример): .b37-zsx-ngn
Записка (пример): Readme .b37-zsx-ngn.txt


Email: 5844869519@protonmail.com
6310812891@protonmail.com
6152412247@protonmail.com
1494040670@protonmail.com
5993509759@protonmail.com
4896949806@protonmail.com
8438769274@protonmail.com
6425934071@protonmail.com
2880069676@protonmail.com
2251980267@protonmail.com
Результаты анализов: AR + AR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myTweet
 ID Ransomware (ID as Eriсa Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Akhmed Taia, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *