Magician 2020 Ransomware
Aliases: Magician, M461C14N, m461c14n
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или только говорит, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: m461c14n.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.30610
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Avira (no cloud) -> TR/FileCoder.bhlpc
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXO
Kaspersky -> Trojan-Ransom.Win32.Agent.awbv
Malwarebytes -> Ransom.Magician
McAfee -> GenericRXJP-EM!63310D6D4630
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Win32.Trojan.Agent.Wlyv
---
© Генеалогия: Magician (2018)? ⇒ Magician 2020
Изображение — логотип статьи
Этимология названия:
Magician (англ.) — маг, волшебник, фокусник, чародей, заклинатель.
Видимо разработчик программы-вымогателя считает себя таким "фокусником-волшебником". Действительно, извлечь из пустой шляпы $100 может не каждый.
Как извлечь из шляпы 200 долларов?!
В рассматриваемом фокусе что-то не всё получилось: к зашифрованным файлам никакое расширение не добавилось и самих зашифрованных файлов что-то не наблюдается.
Может это и есть фокус, а увидеть и оценить его могут только избранные? Охотно верю, т.к. антивирусные движки засвидетельствовали шифровальщик.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает изображение, загруженное с сайта imgur.com и заменяющее обои Рабочего стола.
Содержание записки о выкупе:
Greetings Citizen,
Your computer has been encrypted. HAHA sorry
Please Deposit 100USD worth of Bitcoins to
1JBQnvZcR6BAZ1wmx7P76nAGuPeR3Xn2sb
After payment, please send an email to magician@ctemplar.com for your decryption code including your Bitcoin address from which you sent the ransom and the extended PID of the infected computer (which can be found by entering slmgr.vbs /dlv in command prompt) or we will not be able to fetch the decryption code for you
Note that the price will become 300USD after 48 hours
Best Regards,
m461c14n
Перевод записки на русский язык:
Привет гражданин,
Ваш компьютер был зашифрован. Хаха извините
Пожалуйста, внесите 100 долларов в биткойнах на
1JBQnvZcR6BAZ1wmx7P76nAGuPeR3Xn2sb
После оплаты отправьте email по адресу magician@ctemplar.com, чтобы получить код расшифровки, включая биткойн-адрес, с которого вы отправили выкуп, и расширенный PID зараженного компьютера (его можно узнать, введя slmgr.vbs/dlv в командной строке) или мы не сможем получить код расшифровки для вас
Обратите внимание, что цена станет 300 долларов через 48 часов
Наилучшие пожелания,
m461c14n
Процесс вымогательства и экран разблокировки
Изображение заменяет обои
Появляется экран разблокировки
Экран разблокировки после перезагрузки ПК
Технические детали
Мы ничего не знаем о его распространении, но раз записка с требованием выкупа была написана, добавлена в код программы, затем в виде изображения была размещена на сайте для загрузки картинок, затем ею кто-то поделился, значит факт вымогательства засвидетельствован.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
m461c14n.exe
M461c14n.pdb (m461c14n.pdb) - ОРИГИНАЛЬНОЕ НАЗВАНИЕ ФАЙЛА ПРОЕКТА
<ransom_note>.txt - название файла с требованием выкупа
A3agkfAbiq.exe - случайное название вредоносного файла
51bde9e90c740dd15ca5f289bb893689f90de2ae542b7f140e5334ff7f4768e8.exe - случайное название вредоносного файла
wp.jpg - изображение, заменяющее обои Рабочего стола.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\WMJI\Desktop\A3agkfAbiq.exe
C:\Users\ruisi\OneDrive\??????\pots\Project\Application\Debug\M461c14n.pdb
C:\Users\User\AppData\Local\Temp\51bde9e90c740dd15ca5f289bb893689f90de2ae542b7f140e5334ff7f4768e8.bin.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxxs://i.imgur.com/ZpOkZ5g.jpg
xxxx://preonlinetest.pythonanywhere.com
xxxx://preonlinetest.pythonanywhere.com/setup?c=user-pc&u=admin&p=dXNlci1wY2FkbWlufhEPGy4wdBI9amJkEE8AaW1EcyklN2QxYywYEVpmGwU=
Email: magician@ctemplar.com
BTC: 1JBQnvZcR6BAZ1wmx7P76nAGuPeR3Xn2sb
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
