PhantomChina

Phantom Ransomware

PhantomChina Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на языке Go.

Обнаружения:
DrWeb -> 
BitDefender -> 
ALYac -> 
ESET-NOD32 -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
TrendMicro -> 
---

© Генеалогия: ??? >> Phantom (PhantomChina)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .phantom

В другом варианте используется случайное расширение с 7 hex-символами в нижнем регистре: .<hex_random{7}>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на середину января, первый образец был найден в середине февраля 2020 г. Потом нам попадались случаи в мае, июле. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !How_To_Decrypt_My_File_如何解密我的文件.hta

Содержание записки о выкупе:
发送您的 ID 到 pianist6@protonmail.com
价格取决于您给我们写信的速度, 付*后, 我们将向您发送解密工具, 并协助您解密所较件!
我们支持解密测试！
• 诚信是我们的原则！
• 在付絞之前, ***
***
中文 English
发送您的 ID 到 pianist6@protonmail.com
价格取决于您给我们写信的速度 , 付款后 , 我们将向您发送解密工具 , 并协助您解密所有文件 !
我们支持解密测试 !
• 诚信是我们的原则 !
• 在付款之前 , 您可以向我们发送测试文件 , 证明我们有能力恢复您的数据 (完好无损) !
注意 !
• 请勿 (编辑 删除 重命名 更改后缀名) 文件 , 否则不可恢复 !
• 我们没有第三方合作 , 除了我们无人能解 !
• 不要试图使用第三方软件 (恢复 解密) 您的数据 , 这可能会导致数据永久损坏 !
Your ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***
-----------------------------------------------------------------------------------
If you want to restore them, write us to the e-mail: pianist6@protonmail.com
Write this Your ID in the body of your message
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption test as guarantee !
Integrity is our principle!
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
Attention !
Do not rename encrypted files !
Do not try to decrypt your data using third party software, it may cause permanent data loss !
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam !
Your ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***

Перевод записки на русский язык:
Китайский Английский
Отправьте свой ID на pianist6@protonmail.com
Цена зависит от того, как быстро вы напишите нам, после оплаты мы вышлем вам инструмент дешифрования и поможем расшифровать все файлы!
Мы поддерживаем тест-расшифровку!
• Честность - наш принцип!
• Перед оплатой вы можете отправить нам файл для теста, чтобы доказать, что мы можем восстановить ваши данные (без изменений)!
Внимание!
• Не редактируйте, не удаляйте, не переименовывайте файл, не изменяйте расширение, иначе он не может быть восстановлен!
• У нас нет сотрудников на стороне, никто, кроме нас, не может решить эту проблему!
• Не пытайтесь использовать сторонние программы для восстановления и дешифрования ваших данных, это может привести к необратимому повреждению данных!
Ваш ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***
-------------------------------------------------- ---------------------------------
Китайский Английский
Если вы хотите их восстановить, напишите нам на email: pianist6@protonmail.com
Напишите этот Ваш ID в теле сообщения
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам дешифратор, который расшифрует все ваши файлы.
Бесплатная проверка расшифровки как гарантия!
Честность - наш принцип!
Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки. Общий размер файлов не должен превышать 2 МБ (без архива), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)
Внимание!
Не переименовывайте зашифрованные файлы!
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных!
Расшифровка ваших файлов с помощью третьих лиц может вызвать удорожание (они прибавляют свой гонорар к нашему) или вы можете стать жертвой мошенничества!
Ваш ID
GH kC bP bd uZ OH aZ wS CH xR Tq zv iU uc Bd qQ 9M A2 Zk b0 02 7r ***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



Скриншоты от исследователя вредоносных программ Vitali Kremez:

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления, отключает загрузку безопасного режима Windows на этапе загрузки командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default) bootstatuspolicy ignoreallfailures
Willie SHADOWCOPY DELETE
vssadiru.n delete shadows /All /Quiet

➤ Использует утилиту Sdelete для очистки свободного места после шифрования файлов и удаления оригинальных файлов с ПК. 


➤ В папке, из которой шифровальщик запускается, он создает Encrypt-list.txt (список зашифрованных файлов), fali_log.txt (список пропускаемых файлов) и .bat-файл.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!How_To_Decrypt_My_File_如何解密我的文件.hta - название текстового файла; 

恢复数据-<random{7}>.html - другая записка с 7 знаками из расширения; 
Encrypt-list.txt - список зашифрованных файлов; 
fali_log.txt - список пропускаемых файлов; 
.bat-файл; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pianist6@protonmail.com 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 июня 2022: 

Сообщение >> 

Расширение: .id

Записка: How_To_Decrypt_My_File_.hta

Email: shellcode7@mailfence.com, shellcode7@proton.me 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as PhantomChina)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Vitali Kremez, xiaopao, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.