Brick Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Brick, указано в записке. На файле написано: нет данных.
Обнаружения:
DrWeb -> Trojan.Encoder.31077
BitDefender -> Trojan.Ransom.CDC
Emsisoft -> Trojan.Agent (A)
Kaspersky -> clean!
McAfee -> clean! / Artemis!6B96499C89A4
Microsoft -> clean! / Trojan:Win32/Occamy.C
Rising -> clean! / Trojan.Occamy!8.F1CD (CLOUD)
Tencent -> clean!
TrendMicro -> clean!
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .brick
Фактически используется составное расширение по шаблону: .<random>.brick
Примеры таких расширений:
.1lNwvd9PRZTOb9MbHM5uTw==.brick
.2HXOgypNZlfPQi18Qblk3g_.brick
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был обнаружен в феврале 2020 г. Дата компиляции файла: 17 июня 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Вместо записки с требованием выкупа используется текстовый файл: ID_GENERATE.TXT
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста с экрана:
Your files got bricked forever!
To have them back, you will need to pay a price. Don't try to decrypt your files by using stuff like Recuva or System Restore, nothing will work. AES-256 was used, and the encryption key was erased from memory; now, is an ID, that you can use for decryption.
Send 400 USD to the QR Monero code. And, send a mail to the following address (entercritical@prolonmail.com); use as subject "BrickDecrypt" and embed in the body both the "ID_GENERATE.TXT" file; and the payment \ transaction ID code. You will get in >24h an decryption software (EXE format); run it and you will be fine.
QR code for decryption. Use an Android device to use it. Or, use the following public key address:
43dQ9yguiktUxQrQXcVpEvJtMoKsSfjc1CUpgtmrGRoNFBEEMZiSGPgVo75tWfoeBA6W6NudjgH2c84xcoLTx1xVKigk7wR
Is present in the "ID_GENERATE.TXT" file, if you want to Copy & Paste it.
Good luck.
Ваши файлы замурованы навсегда!
Чтобы получить их обратно, вам надо заплатить цену. Не пытайтесь расшифровать ваши файлы, используя такие вещи, как Recuva или Восстановление системы, ничего не будет работать. AES-256 был использован, и ключ шифрования был удален из памяти; теперь это ID, который вы можете использовать для расшифровки.
Отправьте 400$ США на код QR Monero. И отправьте письмо на следующий адрес (entercritical@prolonmail.com); используйте как тему "BrickDecrypt" и вставьте в тело оба файла "ID_GENERATE.TXT"; и платежа \ транзакции ID. Через 24 часа вы получите программу для дешифрования (в формате EXE); запустите его, и все будет в порядке.
QR-код для расшифровки. Используйте устройство Android для этого. Или используйте следующий публичный адрес ключа:
43dQ9yguiktUxQrQXcVpEvJtMoKsSfjc1CUpgtmrGRoNFBEEMZiSGPgVo75tWfoeBA6W6NudjgH2c84xcoLTx1xVKigk7wR
Присутствует в файле "ID_GENERATE.TXT", если вы хотите скопировать и вставить его.
Удачи.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Во время проверки вредоноса в сервисе Any.Run появляется сообщение об ошибке. Будет ли это в реальной системе? Возможно, но мы не проверяли.
Список файловых расширений, подвергающихся шифрованию:
.accdb, .apk, .asm, .asp, .bat, .bin, .cer, .cfg, .com, .conf, .cpp, .css, .csv, .doc, .docm, .docx, .dot, .flv, .gif, .htm, .html, .ico, .ini, .java, .jpeg, .jpg, .key, .log, .m4a, .mdb, .midi, .odp, .ods, .odt, .ogg, .pdb, .pdf, .pfx, .php, .ppt, .pptm, .pptx, .rar, .reg, .rtf, .svg, .swf, .tif, .tiff, .txt, .vob, .wma, .wpd, .wsf, .xls, .xlsm, .xlsx, .xml, .zip (59 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ID_GENERATE.TXT - название текстового файла
<random>.exe - случайное название вредоносного файла
l25de3a0fbaa3009886613f5e62b92f2.exe
l25de3a0fbaa3009886613f5e62b92f2.dat
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
d:\Mirko\Compilers\SharpDevelop IDE\Documents\SharpDevelop Projects\l25de3a0fbaa3009886613f5e62b92f2\l25de3a0fbaa3009886613f5e62b92f2\obj\x86\Debug\l25de3a0fbaa3009886613f5e62b92f2.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: entercritical@prolonmail.com
Monero: 43dQ9yguiktUxQrQXcVpEvJtMoKsSfjc1CUpgtmrGRoNFBEEMZiSGPgVo75tWfoeBA6W6NudjgH2c84xcoLTx1xVKigk7wR
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as Brick) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
