Coom Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.015 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: EmailExtractor, Super Email Validator, contract.scr.
Обнаружения:
DrWeb -> Trojan.Encoder.31056, Trojan.PWS.Siggen2.43833
BitDefender -> Trojan.GenericKD.42604037
Avira (no cloud) -> TR/NetWire.dtrpn
ESET-NOD32 -> A Variant Of MSIL/Packed.SmartAssembly.AY, A Variant Of MSIL/Kryptik.SXL
Kaspersky -> HEUR:Trojan.MSIL.NetWire.gen
Rising -> Trojan.NetWire!8.FAFE (CLOUD), Trojan.Kryptik!8.8 (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.VSNTBI20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: EDA2 >> Coom
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .coom
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ_IT.txt
Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED
Your USERID is USER-PC
To unlock your files send 0.015 BTC (about $150 USD) to the following
bitcoin wallet address:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
Once you have sent the bitcoin, make note of your USERID above and the
transaction id of your bitcoin payment and go to http://192.30.89.67:11344/unlock.php
and you will be able to get your decryption key and the decryption tool.
If you are wondering how to purchase bitcoin easily, using paxful.com
with store bought gift cards is quick and easy, but there are many other ways
to buy bitcoin as well.
Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваш USERID - USER-PC
Чтобы разблокировать файлы, отправьте 0.015 BTC (около $150 USD) на следующий адрес кошелька биткойн:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
После того, как вы отправили биткойн, запишите свой USERID, указанный выше, и идентификатор транзакции вашего биткойн-платежа и перейдите по адресу http://192.30.89.67:11344/unlock.php
и вы сможете получить свой ключ дешифрования и инструмент дешифрования.
Если вам интересно, как легко купить биткойн, использовать paxful.com с подарочными картами, купленными в магазине, можно легко и быстро, но есть и много других способов купить биткойн.
---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.
Примеры таких рабочих столов на разных системах (зашифрованные файлы и записки).
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ_IT.txt - текстовый файл записки о выкупе
EmailExtractor.exe
Super Email Validator.exe
contract.scr
svhost.exe
<random>.exe - случайное название вредоносного файла
ransom.jpg - загруженный с сайта 192.30.89.67:11344/x/background.jpg
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
%HOMEPATH%\ransom.jpg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
HKEY_LOCAL_MACHINE\Software\eda2\eda2\2.1.0.0 %TEMP%\svhost.exe
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: http://192.30.89.67:11344/x/createkeys.php
http://192.30.89.67:11344/x/background.jpg
http://192.30.89.67:11344/x/savekey.php
BTC: bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: GrujaRS, S!Ri, Jirehlov Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
