BarakaTeam

BarakaTeam Ransomware

Pinkiwinki78 Ransomware

BarakaTeam Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп написать на email, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: tk3787.exe или DDESHARE.EXE. Написан на AutoIt.

Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.44034
BitDefender -> Trojan.GenericKD.42681104, Trojan.Ransom.CryptAIT.D
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Drop.Agent.lador
ESET-NOD32 -> Win32/Filecoder.Autoit.AG, A Variant Of Win32/TrojanDropper.Agent.SHH
Kaspersky  -> Trojan-Ransom.Win32.Encoder.hhi, Trojan-Ransom.Win32.CryFile.aabz
Malwarebytes -> Trojan.FileCryptor
Rising -> Ransom.Baraka/Autoit!1.C310 (CLASSIC), Ransom.CryFile!8.20D (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Wtej, Win32.Trojan.Cryfile.Szvb
---

© Генеалогия: Autoit ransomware >> BarakaTeam (Pinkiwinki78)

Изображение — логотип статьи

К зашифрованным файлам сначала никакое расширение не добавлялось, потом стало добавляться расширение: .pinkiwinki78@mail.ru


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в феврале 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadmeCrypto.txt

Содержание записки о выкупе:
baraka team
your files are encrypted to recover them back contact us on pinkiwinki78@mail.ru
Your userid is: 44lq8R6 we will need it to help you recovering your files.


Перевод записки на русский язык:
baraka team
твои файлы зашифрованы, чтобы восстановить их, пишите нам на pinkiwinki78@mail.ru
Твой userid: 44lq8R6, он нам нужен, чтобы восстановить твои файлы.


Информатором также выступает изображение с email-контактом, заменяющее обои Рабочего стола. Видимо своеобразный автопортрет от вымогателя с "любовью". 

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, запускается вручную после взлома сайта или сервера. В автоматическом режиме не шифрует. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Добавляет в Автозагрузку меню Пуск файл ReadmeCrypto.txt. Считывает информацию из браузера Google Chrome. Завершает работу Windows или перезагружает ПК, используя команду /c shutdown /r /t 1. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadmeCrypto.txt - название файла с требованием выкупа
tk3787.exe - исполняемый файл
DDESHARE.EXE - исполняемый файл
pl.bmp - изображение, заменяющее обои Рабочего стола
4f4dbd505348c33b9435351252aeddba1199df72011e4f83a643790d02231906.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\4f4dbd505348c33b9435351252aeddba1199df72011e4f83a643790d02231906.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: crytoMSG
Value: C:\Users\admin\ReadmeCrypto.txt
---
HKEY_CURRENT_USER\Control Panel\Desktop
Name: WallPaper
Value: C:\Users\admin\pl.bmp
---
HKEY_CURRENT_USER\Software\Microsoft\IAM
Name: Server ID

Value: 2
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pinkiwinki78@mail.ru
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 июня (вошло в состав статьи):
Расширение: .pinkiwinki78@mail.ru
Email: pinkiwinki78@mail.ru


Обновление от 22 мая 2021:

Обнаружен сайт, атакованный 22 мая 2021 г. в 5:58.

Расширение: .pusheken91@bk.ru

Email: pusheken91@bk.ru

Повторение в июле - августе 2021: 

Сообщение >>
Сообщение >>

Сообщение >>

Шифрует только файлы, определенные в файле "y.txt", который он ищет.

Вероятно файлы не шифруются должным образом, вместо перезаписи добавляется шифрованный текст. 

Расширение: .pusheken91@bk.ru

Email: pusheken91@bk.ru

Результаты анализов: VT + HA + TG + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать!
Обращайтесь по ссылке к Michael Gillespie >>
***

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BarakaTeam)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.