DeathHiddenTear

DeathHiddenTear Ransomware

Large&Small HT Ransomware

DeathHiddenTear-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA для ключа, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название: DeathV2 (указано в коде). На файле написано: SSvchost и ssvchost.exe

Обнаружения:
DrWeb -> Trojan.Encoder.31055
BitDefender -> Generic.Ransom.Small.A8C082EF
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
GData -> MSIL.Trojan-Ransom.Remind.B
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
McAfee -> Ransomware-FTD!B550E47DE0ED
Rising -> Ransom.Genasom!8.293 (CLOUD)
TrendMicro -> TROJ_GEN.R002C0OBJ20
Symantec -> Ransom.HiddenTear!g1
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: HiddenTear >> DeathHiddenTear

Изображение — логотип статьи (согласно данным)

К зашифрованным файлам добавляются разные расширения: 
.encryptedL  - к файлам размером более 50 Мб (L - Large - "большой")
.encryptedS - к файлам размером менее 50 Мб (S - Small - "небольшой")

Таким образом, большинство файлов на компьютере после шифрования получают расширение .encryptedS

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt Instructions.txt

Просмотр в Notepad++

Просмотр в Блокнот

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write us to email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

Перевод записки на русский язык:
Все ваши файлы зашифрованы, для расшифровки, пишите на email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

---
Комментарий от Майкла Джиллеспи: "Набор чисел в записке о выкупе является ключом AES, зашифрованным RSA этой функцией. Это малораспространенный способ, обычно используется hex." 
 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов после шифрования.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt Instructions.txt - название записки
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\New_Latest_Version_2\DeathV2
***\Death\obj\Release\ssvchost.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AllZData@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 марта 2020:
Пост в Твиттере >>
Расширение: .enc
Записка: Decrypt Instructions.txt
Email: jakejake1234@cock.li

Файл: ssvchost.exe (написано SSvchost)
Результаты анализов: VT + VMR
Обнаружения: 
DrWeb -> Trojan.MulDrop11.51630
BitDefender -> Generic.Ransom.Small.773EC97D
ESET-NOD32 -> MSIL/Filecoder.YN
Rising -> Ransom.Filecoder!8.55A8 (CLOUD)
TrendMicro -> Ransom_Filecoder.R002C0DCN20

Обновление от 12 мая 2020:
Пост в Твиттере >>
Расширение: .enc
Записка: Decrypt Instructions.txt

Email: Datauser17234@protonmail.ch
Результаты анализов: VT + HA 

Обновление от 17 мая 2020: 
Пост на форуме >>
Расширение: .enc
Записка: Decrypt Instructions.txt
Email: craftech@protonmail.ch 
Файлы: NC.exe, C.exe

➤ Содержание записки: 
All of your files are encrypted, to decrypt them write us to email: craftech@protonmail.ch 
48,203,3,201,128,23,71,132,161,***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DeathHiddenTear)
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.