GoGoogle Ransomware
Aliases: BossiTosi, Trix, Xraw
GoGoogle NextGen
GoGoogle 2.0 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей и сайтов с помощью XOR, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: bild.exe. Написан на языке Go. Другая версия, по сообщениям BitDefender, использует XOR для файлов размером более 1 Мб и RSA-1024 для файлов меньшего размера.
Обнаружения:
DrWeb -> Trojan.MulDrop11.51979, Trojan.MulDrop11.52047, Trojan.Encoder.31479, Trojan.Encoder.31607
BitDefender -> Trojan.GenericKD.42890724, Trojan.GenericKD.33568716
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> Win32/Filecoder.OBK
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic!8.C3 (CLOUD)
Symantec -> Downloader
TrendMicro -> Trojan.Win32.MALREP.THCBGBO
---
© Генеалогия: ??? >> GoGoogle (BossiTosi)
К зашифрованным файлам добавляется составное расширение по шаблону: _ID_<id>_Bossi_tosi@protonmail.com.google
Пример такого расширения:
_ID_1608263421_bossi_tosi@protonmail.com.google
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: FileRecovery.txt
Содержание записки о выкупе:
Hello,
your files have been encrypted! To return the files, message us at Bossi_tosi@protonmail.com or Bossi_tosi@protonmail.com
Please type us your ID: XXXXXXXXXX
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
Перевод записки на русский язык:
Привет,
Ваши файлы зашифрованы! Чтобы вернуть файлы, пишите нам на Bossi_tosi@protonmail.com или Bossi_tosi@protonmail.com
Пожалуйста, введите нам свой ID: XXXXXXXXXX
Вы можете отправить нам любые два зашифрованных файла, и мы расшифруем их в доказательство нашей честности.
Внимание!!! Не пытайтесь вернуть файлы сами, вы их повредите, и восстановление с нашим ключом будет невозможным.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
bild.exe
FileRecovery.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Bossi_tosi@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >> VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 1 апреля 2020 или раньше:
Расширение: .google
Составное расширение (пример): _ID_318444525_maill_helpme@protonmail.com.google
Email: maill_helpme@protonmail.com
Hello,
your files have been encrypted! To return the files, message us at maill_helpme@protonmail.com or maill_helpme@protonmail.com
Please type us your ID: 318444525
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
Обновление от 2 апреля 2020:
Сообщение >>
Расширение: .google
Составное расширение (пример): _ID_2345678901_H_doss_help@qq.com.google
Email: doss_help@qq.com.google
Файл: bild.exe
Результаты анализов: VT + HA + VMR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.31419
BitDefender -> Gen:Variant.Ulise.103459
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAT
Malwarebytes -> Ransom.stadyOne.GO
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R011C0WD320
Обновление от 5 апреля 2020:
Расширение: .google
Составное расширение (пример): _ID_3300537927_H_newneo1312@protonmail.com.google
Записка: FileRecovery.txt
Email: newneo1312@protonmail.com
Файл: bild.exe
Результаты анализов: VT + AR
➤ Содержание записки:
Hello,
your files have been encrypted! To return the files, message us at newneo1312@protonmail.com or newneo1312@protonmail.com
Please type us your ID: 3300537***
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
Обновление от 7-8 апреля 2020:
Пост на форуме >>
Расширение: .google
Составное расширение (пример): _ID_882345678_bitsupportz@protonmail.com.google
Записка: FileRecovery.txt
Email: bitsupportz@protonmail.com, bitsupportz@cock.li
➤ Содержание записки:
Hello,
your files have been encrypted! To return the files, message us at bitsupportz@protonmail.com or bitsupportz@cock.li
Please type us your ID: 882041942
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
---
В некоторых случаях файлы оказываются затертыми под ноль.
Обновление от 18 апреля 2020:
Пост на форуме >>
Расширение: .google
Составное расширение (пример): _ID_2623555684_H_brovsky@aol.com.google
Записка: FileRecovery.txt
Email: brovsky@aol.com, brovsky@airmail.cc
Hello,
your files have been encrypted! To return the files, message us at brovsky@aol.com or brovsky@airmail.cc
Please type us your ID: 2623555684
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
Обновление от 23 апреля 2020:
Пост на форуме >>
Расширение: .google
Составное расширение (пример): _ID_1342424413_H_email[Mail@qbmail.biz].google
Записка: FileRecovery.txt
Email: Mail@qbmail.biz, asmodey3301@protonmail.com
➤ Содержание записки:
Hello,
your files have been encrypted! To return the files, message us at email[Mail@qbmail.biz] or asmodey3301@protonmail.com
Please type us your ID: 1342424413
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
Обновление от 26 апреля 2020:
Файл: [BEST SOFTWARE] EARN $1350 PER DAY.exe
Результаты анализов: VT + VMR + IA
Обнаружения:
DrWeb -> Trojan.Encoder.31677
BitDefender -> Trojan.GenericKD.43051724
ESET-NOD32 -> A Variant Of Win32/Filecoder.GoGoogle.A
Tencent -> Malware.Win32.Gencirc.116161a7
TrendMicro -> TROJ_GEN.R067C0GE820
Обновление от 28 апреля 2020:
Составное расширение (пример): _ID_3713341344_btc_bitts@protonmail.com.google
Email: btc_bitts@protonmail.com
Обновление от 4 мая 2020:
Топик на форуме >>
Расширение-1: .xraw
Расширение-2: .trix
Составное расширение (пример): _ID_2663275831_[decryption@qbmail.biz].trix
Email: decryption@qbmail.biz, reservedecryption@protonmail.com
Записка: FileRecovery.txt
Hello,
your files have been encrypted! To return the files, message us at decryption@qbmail.biz or reservedecryption@protonmail.com
Please type us your ID: 2663275831
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
---
Файл: svhost1.exe
Результаты анализов: VT + IA + HA + TG
Обновление от 8 мая 2020:
Расширение: .google
Составное расширение (пример): _ID_3402672601_[buydecryptor@aol.com].google
Записка: FileRecovery.txt
Email: buydecryptor@aol.com
Результаты анализов: VT + HA + IA + VMR
Обновление от 15 мая 2020:
Расширение: .google
Составное расширение (пример): _ID_3402672367_H_po2977@protonmail.com.google
Записка: FileRecovery.txt
Email: po2977@protonmail.com
Hello,
your files have been encrypted! To return the files, message us at po2977@protonmail.com or po2977@protonmail.com
Please type us your ID: 3402672345
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
Обновление от 20 июля 2020:
Топик на форуме >>
Расширение: .go
Составное расширение (пример): _ID_1890882646_[Helprecovery@qbmail.biz].go
Записка: RecoveryFiles.txt
Email: Helprecovery@qbmail.biz, Tbr66@protonmail.com
➤ Содержание записки:
Hello,
your files have been encrypted! To return the files, message us at Helprecovery@qbmail.biz or Tbr66@protonmail.com
Please type us your ID: 1890882345
we copied your files and databases to our server, after payment we will delete them and decrypt your data,
in case of non-payment, we will sell your data on hacker forums in a week
You can send us any two encrypted files and we will decrypt them to prove our honesty.
Attention!!! Do not try to recover the files yourself, you will damage them and recovery with our key will become impossible.
Обновление от 27 ноября 2020:
Расширение: .google
Составное расширение (пример): .id[06F02E0A-2455].[wmanxtere@privatemail.com].google
Записки: info.txt, info.hta
Email: wmanxtere@privatemail.com, raypas@goat.si
Telegram: @santatop
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов с расширением .google, есть дешифровщик Скачайте дешифровщик с официального сайта BitDefender >>
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as GoGoogle) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
