пятница, 17 января 2020 г.

Ragnarok, RagnarokCry

Ragnarok Ransomware

RagnarokCry Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.MulDrop11.33197
BitDefender -> Trojan.GenericKD.42261103
ALYac -> Trojan.Ransom.MegaCortex
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAC
McAfee -> RDN/Generic.dx
Symantec -> Downloader
TrendMicro -> TROJ_GEN.R067C0PAJ20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: MegaCortex ? > ранний вариант >> Ragnarok (RagnarokCry)
Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.ragnarok_cry
.ragnarok


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало-средину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_To_Decrypt_My_Files.txt

Содержание записки о выкупе:
#what happend?
Unfortunately your files are encrypted, To decrypt your files follow the instructions
1. you need a decrypt tool so that you can decrypt all of your files
2. contact with us for our btc address if you want decrypt your files or you can do nothing just wait your files gona be deleted
3. you can provide a file which size less than 3M for us to prove that we can decrypt your files after you paid
4. it is wise to pay in the first time it wont cause you more losses
DEVICE ID:
***
you can send your DEVICE ID to mail address below
asgardmaster5@protonmail.com

Перевод записки на русский язык:
#что случилось?
К сожалению, ваши файлы зашифрованы, чтобы расшифровать ваши файлы следуйте инструкциям
1. вам нужен расшифровщик, чтобы вы могли расшифровать все ваши файлы
2. пишите нами для получения btc-адреса, если вы хотите расшифровать ваши файлы или вы ничего не можете сделать, просто подождите, пока ваши файлы будут удалены
3. вы можете прислать нам файл на менее 3 МБ, чтобы доказать, что мы можем расшифровать ваши файлы после того, как вы заплатите
4. разумно сначала платить, это не принесет вам больше потерь
ID УСТРОЙСТВА:
***
Вы можете отправить свой ID устройства на адрес почты ниже
asgardmaster5@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Пытается отключить Windows Defender / Anti-Malware Protection

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол с помощью команд:

cmd.exe /c vssadmin delete shadows /all /quiet
cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
cmd.exe /c bcdedit /set {current} recoveryenabled no
cmd.exe /c netsh advfirewall set allprofiles state off

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: .exe, .dll, .sys, .ragnarok

Пропускаемые процессы: "note", "powerpnt", "winword", "excel"

Пропускаемые папки и файлы: 
\content.ie5
\temporary internet files
\local settings\temp
\appdata\local\temp
\program files
\windows
\programdata

Пропускаемые языки: 
0419 Русский (Россия), 
0423 Белорусский (Беларусь), 
0444 Татарский (Россия), 
0442 Туркменский - Туркмения, 
0422 Украинский (Украина), 
0426 Латышский (Латвия), 
043f Казахский (Казахстан), 
042c Азербайджанский (латиница, Азербайджан), 
0804 Китайский (КНР)

Файлы, связанные с этим Ransomware:
How_To_Decrypt_My_Files.txt - название записки о выкупе
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\tmp\crypt.txt
C:\\Users\public\Files\rgnk.dvi

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asgardmaster5@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24-25 января 2020:
Пост в Твиттере >>
Расширение: .ragnarok
Email: asgardmaster5@protonmail.com
ragnar0k@ctemplar.com
j.jasonm@yandex.com
Записка: !!ReadMe_To_Decrypt_My_Files.txt
➤ Содержание записки:
#what happend to your files ?
Unfortunately your files are encrypted with rsa4096 and aes encryption,
you won 't decrypt your files without our tool
but don 't worry,you can follow the instructions to decrypt your files 
1. obviously you need a decrypt tool so that you can decrypt all of your files
2. contact with us
for our btcoin address and send us your DEVICE ID after you decide to pay
3. i will reply a specific price e.g 1.0011 or 0.9099 after i received your mail including your DEVICE ID
4. i will send your personal decrypt tool only work on your own machine after i had check the ransom paystatus
5. you can provide a file less than 1 M
for us to prove that we can decrypt your files after you paid
6. it 's wise to pay as soon as possible it wont make you more losses
the ransome : 1 btcoin
for per machine,
5 bitcoins
for all machines
how to buy bitcoin and transfer ? i think you are very good at googlesearch
asgardmaster5 @protonmail.com
ragnar0k@ctemplar.com
j.jasonm@yandex.com
Attention : if you wont pay the ransom in five days,
all of your files will be made public on internet and will be deleted
YOUR DEVICE ID: 
****************** [12 строк]


 
 
---
В коде исполняемого файла имеются ссылки на на различные пути Unix/Linux файлов. 
 "no_name4": "/proc",
"no_name5": "/proc/%s/status",
"no_name8": "/tmp/crypt.txt",
"no_name9": "/proc/%s",
"rand_path": "/dev/random",
"home_path": "/home/",
Это может разрабатываться для межплатформенной конфигурации. 
Согласно заключению специалистов, Ragnarok используется для целенаправленных атак на непропатченные серверы Citrix ADC, уязвимые для эксплойта CVE-2019-19781.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tw + Tw + myTweet
 ID Ransomware (ID as Ragnarok)
 Write-up, Topic of Support
 * 
Added later:
Write-up by BleepingComputer (on January 28, 2020)
***
 Thanks: 
 Karsten Hahn, MalwareHunterTeam, Vitali Kremez
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *