четверг, 27 февраля 2020 г.

Ekati

Ekati Ransomware

(демонстрационный шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English


Этот демонстрационный крипто-вымогатель от Malwarebytes демонстрирует, что шифрует данные пользователей с помощью AES, а затем выводит сообщение без требований выкупа, в которой есть ссылка для запуска дешифрования. Оригинальное название: Ekati. На файле написано: ekati.exe, Ekati и номер версии 2.0.0.0. Указанный разработчик: Lee Wei

Обнаружения:
DrWeb -> Trojan.Siggen9.15575
BitDefender -> Gen:Variant.MSILPerseus.194329
Avira (no cloud) -> TR/Hosts.tclzk
Cyren -> W32/Trojan.JSFQ-5693
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UH
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Ransom.FileLocker
Tencent -> Msil.Trojan.Delshad.Wogk
TrendMicro -> Ransom.MSIL.TEIKA.SMTH1
VBA32 -> TScope.Trojan.MSIL
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: демонстрационный инструмент.


Изображение — логотип статьи

К зашифрованным файлам во время теста никакое расширение не добавилось. 
Вероятно, должно было добавиться расширение .encrypt или .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого демонстрационного крипто-вымогателя был найден исследователями вредоносных программ во второй половине февраля 2020 г. Только спустя 5 дней я получил подтверждения, что это действительно демонстрационный инструмент от Malwarebytes. Ориентирован на англоязычных пользователей. 

Записка с требованием выкупа называется: message.html

Содержание записки о выкупе:
Your computer has been encrypted
The hard disks of your computer have been encrypted with a military grade encryption algorithm. It is impossible to recover your data without a special key.
This page will help you with the purchase of this key and the complete decryption of your computers.
Time left: 2d 23h 59m 56s
Click here to start the decryption process

Перевод записки на русский язык:
Ваш компьютер зашифрован
Жесткие диски вашего компьютера зашифрованы с алгоритмом шифрования военного уровня. Невозможно восстановить ваши данные без спецключа.
Эта страница поможет вам купить этот ключ и полностью расшифровать ваши компьютеры.
Осталось: 2д 23ч 59м 56с
Нажмите здесь для запуска расшифровки



Технические детали

Так как это демонстрационный инструмент, то он не может распространяться как другие шифровальщики-вымогатели, т.е. путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Пытается получить доступ к файлу hosts и модифицировать его. 

➤ Пытается удалить теневые копии файлов:
vssadmin.exe delete shadows

➤ Использует mRemoteNG - менеджер удаленных подключений, который поддерживает: RDP, VNC, ICA, SSH, Telnet, HTTP/HTTPS, rlogin, Raw Socket Connections.


➤ Другие деструктивные и/или подозрительные функции:
Создает файлы в пользовательском каталоге
Добавляет, изменяет сертификаты Windows
Изменяет и читает настройки системных сертификатов
Самозапускается
Изменяет настройки интернет-зон
Читает настройки интернет-кэша
Использует mimikatz с целью воровства паролей из браузеров и других приложений
Использует netsh.exe для изменений сетевых параметро и отключений файервола
Использует PowerShell 
Использует iptest.malwarebytes.com для проверки защиты по IP-адресу
Использует Internet Explorer для запуска сообщения с требованием выкупа м помощью команды:
C:\Program Files\Internet Explorer\iexplore.exe" C:\Users\admin\AppData\Local\Temp\message.html

Список файловых расширений, подвергающихся шифрованию:
Это могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., если не обеспечить ПК комплексной защитой и резервным копированием. 

Файлы, связанные с этим Ransomware:
message.html - записка с сообщением
ekati.exe
ekati6482.exe
redback.jpg - изображение, использованное вымогателями
diamond.exe
ruby.exe
vacation.jpg.exe
<random>.exe - случайное название вредоносного файла
r0f0jsrf9300.exe
sl4xpfrq4976.exe
unmwp0pc8858.exe
ekati.log - лог выполненных команд
ruby.log - лог выполненных команд
diamond.log - лог выполненных команд
onion.jpg
mimikatz_trunk.zip
mimikatz.exe
eprtest.exe
remotec.ps1
iptest.html
временные файлы с расширениями: .TMP и .temp

Оригинальные проекты вымогателя: 
C:\Users\leewei\Documents\Visual Studio 2017\Projects\ekati 2.0\diamond\obj\Debug\diamond.pdb
C:\Users\leewei\Documents\Visual Studio 2019\Projects\ekati 2.0\ekati\obj\Debug\ekati.pdb
C:\Users\leewei\Documents\Visual Studio 2017\Projects\ekati 2.0\ruby\obj\Debug\ruby.pdb


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Temp\eprtest.exe

Записи реестра, связанные с этим Ransomware:
2/27/2020 9:27:00 AM - Registry written: 
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, NoControlPanel, 1
2/27/2020 9:27:01 AM - Registry written: 
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, Level, 1
2/27/2020 9:27:02 AM - Registry written: 
SOFTWARE\Malwarebytes\Ekati\\Word\Security, Level, 1
2/27/2020 9:27:03 AM - Registry written: 
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, CertificateRevocation, 0
2/27/2020 9:27:04 AM - Registry written: 
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, DisableScriptDebuggerIE, yes
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: lwei@malwarebytes.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

DNS-разрешения: 
onion.net
b1ns.c-0001.c-msedge.net
b1ns.au-msedge.net
c-0001.c-msedge.net
dual-a-0001.a-msedge.net
a-0001.a-afdentry.net.trafficmanager.net
www.onion.net
www.download.windowsupdate.com
www.bing.com
2-01-3cf7-0009.cdx.cedexis.net
hunter.teamwork.cn

IP-трафик:
217.194.236.100:80 (TCP)
217.194.236.100:443 (TCP)
13.107.4.50:80 (TCP)
13.107.21.200:80 (TCP)

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Michael Gillespie, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 25 февраля 2020 г.

BlackKingdom

BlackKingdom Ransomware

Aliases: Black_Kingdom, DemonCrypt, DemonWare

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $10.000 в BTC, чтобы вернуть файлы. Оригинальное название: Black_Kingdom Ransomware. На файле написано: нет данных. Написан на языке Python 3.8.

Обнаружения:
DrWeb -> Python.Encoder.8
BitDefender -> Generic.Ransom.BlackKingdom.CDC***
ESET-NOD32 -> Python/Filecoder.DL
F-Secure -> Trojan.TR/Ransom.pigrx
Malwarebytes -> Trojan.Banker.Python
Symantec -> Trojan.Gen.MBT
Tencent -> Malware.Win32.Gencirc.10b8b856
TrendMicro -> TROJ_FRS.VSNTBS20, Ransom.Win32.DEMONCRYPT.A
VBA32 -> Trojan.Wacatac
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: другие Python-ransomware >> BlackKingdom > GAmmAWare, DemonWare
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .DEMON


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Штамп даты: 5 января 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
I'm sorry to inform you that Your whole Enviorement have been hacked !!
all of your Data including ( Data, documents, Videos, Photos, Databases, servers, outlook emails, and way way more ) are encrypted now, and cannot be accessed under any circumestances.
How to get them back >>> ??? 
all you have to do is to pay us ( $10,000 ) worth of bitcoin to the following address : 
***************************** [ 3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7 ]*****************************
if we don't get a transfer within the stated time , all of your data will be destroyed and yet be sold.
you've got 600 minutes to respond for our demands 
best regards :) 
# for further instructions : feel free to contact us on the following email --> blackingdom@gszmail.com

Перевод записки на русский язык:
Извините, что сообщаю, что все ваше окружение взломано!
все ваши данные, включая (данные, документы, видео, фото, базы данных, серверы, почта Outlook и многие другие), зашифрованы и недоступны при любых обстоятельствах.
Как вернуть их >>> ???
все, что вам нужно сделать, это заплатить нам (10 000 долларов) в биткойнах на следующий адрес:
***************************** [3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7] ****************** ***********
Если мы не получим перевод в указанный срок, все ваши данные будут уничтожены и еще проданы.
у вас есть 600 минут, чтобы ответить на наши требования
с уважением :)
# для дальнейших инструкций: не стесняйтесь обращаться к нам на следующий адрес email -> blackingdom@gszmail.com


Другим информатором выступает экран блокировки. Текст аналогичен тому, что есть в записке.  На обдумывание ситуации дается всего 600 минут (10 часов). 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название текстового файла
payload.txt.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackingdom@gszmail.com
BTC: 3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >> AR> AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 13 июня 2020:
Статья на сайте BleepingComputer >>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BlackKingdom)
 Write-up, Topic of Support
 🎥 Videoreview >>
 - видеообзор от Gruja RS
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BarakaTeam

BarakaTeam Ransomware

Pinkiwinki78 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп написать на email, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: tk3787.exe или DDESHARE.EXE. Написан на Autoit.

Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.44034
BitDefender -> Trojan.GenericKD.42681104, Trojan.Ransom.CryptAIT.D
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Drop.Agent.lador
ESET-NOD32 -> Win32/Filecoder.Autoit.AG, A Variant Of Win32/TrojanDropper.Agent.SHH
Kaspersky  -> Trojan-Ransom.Win32.Encoder.hhi, Trojan-Ransom.Win32.CryFile.aabz
Malwarebytes -> Trojan.FileCryptor
Rising -> Ransom.Baraka/Autoit!1.C310 (CLASSIC), Ransom.CryFile!8.20D (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Wtej, Win32.Trojan.Cryfile.Szvb
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Autoit ransomware >> BarakaTeam (Pinkiwinki78)
Изображение — логотип статьи

К зашифрованным файлам сначала никакое расширение не добавлялось, потом стало добавляться расширение: .pinkiwinki78@mail.ru


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в феврале 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadmeCrypto.txt

Содержание записки о выкупе:
                                                       baraka team
your files are encrypted to recover them back contact us on pinkiwinki78@mail.ru
Your userid is: 44lq8R6 we will need it to help you recovering your files.


Перевод записки на русский язык:
                                                       baraka team
твои файлы зашифрованы, чтобы восстановить их, пишите нам на pinkiwinki78@mail.ru
Твой userid: 44lq8R6, он нам нужен, чтобы восстановить твои файлы.


Информатором также выступает изображение с email-контактом, заменяющее обои Рабочего стола. Видимо своеобразный автопортрет от вымогателя с "любовью". 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Добавляет в Автозагрузку меню Пуск файл ReadmeCrypto.txt. 
Считывает информацию из браузера Google Chrome. Завершает работу Windows или перезагружает ПК, используя команду /c shutdown /r /t 1

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadmeCrypto.txt - название файла с требованием выкупа
tk3787.exe - исполняемый файл
DDESHARE.EXE - исполняемый файл
pl.bmp - изображение, заменяющее обои Рабочего стола
4f4dbd505348c33b9435351252aeddba1199df72011e4f83a643790d02231906.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\4f4dbd505348c33b9435351252aeddba1199df72011e4f83a643790d02231906.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: crytoMSG
Value: C:\Users\admin\ReadmeCrypto.txt
---
HKEY_CURRENT_USER\Control Panel\Desktop
Name: WallPaper
Value: C:\Users\admin\pl.bmp
---
HKEY_CURRENT_USER\Software\Microsoft\IAM
Name: Server ID

Value: 2
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pinkiwinki78@mail.ru
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 22 июня:
Расширение: .pinkiwinki78@mail.ru
Email: pinkiwinki78@mail.ru




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать!
Обращайтесь по ссылке к Michael Gillespie >>
***
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BarakaTeam)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 24 февраля 2020 г.

SepSys

SepSys Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: sepSys. На файле написано: нет данных. Получатель криптовалюты: Silicon Venom.

Обнаружения:
DrWeb -> Trojan.Encoder.31095
BitDefender -> Trojan.GenericKD.42682853, Gen:Variant.Razy.618273
Emsisoft -> Trojan-Ransom.SepSys (A)
Fortinet -> W32/Ransom.FVG!tr
Kaspersky -> Trojan.Win32.Zudochka.ebg
Malwarebytes -> Ransom.SepSys
Microsoft -> Ransom:Win32/SepSys!MTB
Qihoo-360 -> Trojan.Generic
Rising -> Ransom.SepSys!1.C30A (CLOUD)
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sepsys


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.html


Содержание записки о выкупе:
ATTENTION! Your computer has been infected by sepSys!
Your files have been encrypted with a random key and no decryption tool can save them
To regain access to your files, please make a $100 donation to Silicon Venom
We only accept payments in Bitcoin (BTC). Check this out to learn more: https://bitcoin.org/en/buy
Your donation should be sent to the following BTC wallet address: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj
Once you have paid, contact us at iaminfected.sac@elude.in to receive your unique password and instructions on how to use it
The sooner you pay the better! Your files will be permanently corrupted over time, so act quickly
We appreciate your cooperation.

Перевод записки на русский язык:
ВНИМАНИЕ! Ваш компьютер был заражен sepSys!
Ваши файлы зашифрованы случайным ключом, и никакой инструмент расшифровки не может их сохранить
Чтобы вернуть доступ к вашим файлам, пожертвуйте 100$ на Silicon Venom
Мы принимаем платежи только в биткойнах (BTC). Проверьте это, чтобы узнать больше: https://bitcoin.org/en/buy
Ваше пожертвование должно быть отправлено на следующий адрес BTC-кошелька: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj
После оплаты пишите нам на адрес iaminfected.sac@elude.in, чтобы получить уникальный пароль и инструкции по его использованию.
Чем раньше вы заплатите, тем лучше! Ваши файлы будут повреждены, поэтому действуйте быстро
Мы ценим ваше сотрудничество.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует Windows PowerShell для атаки. Это в очередной раз подтверждает вредоносность этой технологии Microsoft. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.html
destructy-1.0.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\README.html

Оригинальное название проекта: 
C:\Users\tinop\Documents\Experiments\virusTests\sepSys1-0\target\debug\deps\sepSys1_0-ebd9526c88434a09.pdb

Прочее:
Desktoppasswordhere.txtajsndhcuyofklqwghftdgcbsmdfkiops.sepsyssepsyssrc\main.rs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL - IP: http://www.myip.ch/
URL - icon: https://2no.co/3mAp64
Email: iaminfected.sac@elude.in
BTC: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 апреля 2020:
Пост в Твиттере >>
Расширение: .sepsys
Выдает себя за SMBGhoster_1.2.exe
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *