четверг, 30 апреля 2020 г.

Paymen45

Paymen45 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Среда разработки: библиотека Crypto++. 

Обнаружения:
DrWeb -> Trojan.Encoder.31700, Trojan.Encoder.31793
BitDefender -> Trojan.GenericKDZ.66838, Gen:Variant.Ursu.849717, Gen:Variant.Midie.72044
ALYac -> TR/AD.RansomHeur.lnhyk
Avira (no cloud) -> TR/AD.RansomHeur.bffyr
ESET-NOD32 -> Win32/Filecoder.NSF
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Trojan.MalPack.GS, Spyware.Agent
Rising -> Malware.Heuristic!ET#90% (RDMK:cmRtazre9*, Trojan.Kryptik!8.8 (CLOUD), Trojan.Kryptik!1.C5BA (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R069H0CE120, TROJ_GEN.R002C0DE120
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Oled, Makop > Paymen45


Изображение — логотип статьи

К зашифрованным файлам предположительно добавляется расширение: 
.<random> или .<similar_to_random>

➤ Пример, который обнаружен у разных пострадавших: .g8R4rqWIp9
Возможно, это статическое расширение является основным. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец апреля 2020 г. Судя по датам создания разных образцов эта программа-вымогатель могла быть создана в мае 2019 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Dear user! Your computer is encrypted! We demand a ransom!
Decryption service is paid !!!! PAYMENT FOR BITCOIN !!!
To decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/
Install it and visit our website for further action http://paymen45oxzpnouz.onion/f4f74e9a11
Also from your servers files, documents, databases SQL, PDF were uploaded to our cloud storage
After we agree, you will receive a decryption program, valuable advice in order not to fall into this situation in the future, as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.

Перевод записки на русский язык:
Дорогой пользователь! Ваш компьютер зашифрован! Мы требуем выкуп!
Услуга расшифровки платная !!!! ОПЛАТА ЗА БИТКОЙНЫ !!!
Для расшифровки вашего компьютера вам надо скачать TOR-браузер по адресу https://www.torproject.org/download/
Установите его и посетите наш сайт для дальнейших действий http://paymen45oxzpnouz.onion/f4f74e9a11
Также с ваших серверов в наше облачное хранилище были загружены файлы, документы, базы данных SQL, PDF.
После того, как мы согласимся, вы получите программу дешифрования, ценные советы, чтобы не попасть в эту ситуацию в будущем, а также все ваши файлы на нашем сервере будут удалены.
Иначе они попадут в открытый доступ в интернет!
Использование любой сторонней программы для восстановления ваших данных или антивирусных решений приведет к потере данных.
Пожалуйста, будьте уверены, что мы найдем общий язык. Мы восстановим все данные и дадим вам рекомендации по настройке защиты вашего сервера.


Инструкцией по уплате выкупа выступает onion-сайт вымогателей: 

 
 

Содержание сайта вымогателей: 
Your local network has been hacked
Your documents, photos, databases and other important files are encrypted
To decrypt your files you need to contact us via chat. We demand a ransom!
You can do it right now. Use chat bellow. But remember that you do not have much time
Contact with support
-
Enter your ID code to start
Your ID ***
[Next]
---
Contact with support
-
We have received your details.
If you are serious about decrypting your data, then pay via BTC (bitcoin) for activation CHAT with our support
The amount: $10 (summ in bitcoin 0.00115) to address:
1payWS2MDcUTpYEV8aw3jYKUHaWAs3mcY

Перевод содержания сайта на русский язык:
Ваша локальная сеть взломана
Ваши документы, фото, базы данных и другие важные файлы зашифрованы
Для расшифровки ваших файлов вам надо связаться с нами через чат. Мы требуем выкуп!
Вы можете сделать это прямо сейчас. Используйте чат ниже. Но помните, что у вас немного времени
Контакт с поддержкой
-
Введите свой ID код, чтобы начать
Ваш ID ***
[Далее]
---
Контакт с поддержкой
-
Мы получили ваши данные.
Если вы серьезно относитесь к расшифровке ваших данных, то заплатите через BTC (биткойн) за активацию ЧАТа с нашей поддержкой.
Сумма: $10 (сумма в биткойнах 0,00115) по адресу:
1payWS2MDcUTpYEV8aw3jYKUHaWAs3mcY




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ ID находится в конце зашифрованного файла.

/ID [<5C916CA0A77615D82F2C7A81A6338AF9><5C916CA0A77615D82F2C7A81A6338AF9>]

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://paymen45oxzpnouz.onion/f4f74e9a11
Tor-URL в примере: xxxx://paymen45oxzpnouz.onion/f4f74e9a11
Email: - 
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Oled (Oled-Makop) Ransomware
Makop Ransomware
Paymen45 Ransomware


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 мая 2020:
Ещё один случай с тем же Paymen45 Ransomware
Пост на форуме >>
Расширение: .g8R4rqWIp9
Записка: readme.txt

Обновление от 11 мая 2020:
Пост в Твиттере >>
Расширение: .KJHslgjkjdfg
Записка: readme-warning.txt
Tor-URL: xxxx://paymen45oxzpnouz.onion/
Название файла проекта: C:\socicepi75_vecesakalimubefebe-yirafenuxahesi-hayixofojuzokoxa29 r.pdb
Мьютекс: m23071644
Файл exe: lok.exe, output.159342821.txt {EXE}
Результаты анализов: VT + AR + VMR / VT + VMR
➤ Содержание записки: 
Dear user! Your computer is encrypted! We demand a ransom!
Decryption service is paid !!!! PAYMENT FOR BITCOIN !!!
Also from your servers files, documents, databases SQL, PDF were uploaded to our cloud storage
After we agree, you will receive a decryption program, valuable advice in order not to fall into this situation in the future, as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server. 
COMMUNICATION METHOD:
To decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/
Install it and visit our website for further action http://paymen45oxzpnouz.onion/DE3DF956


Обновление от 22 июня 2020:

Пост на форуме >>
Расширение: .notron
Записка: readme.txt
Tor-URL: xxxx://paymen45oxzpnouz.onion/
➤ Содержание записки:
Dear user! Your computer is encrypted! We demand a ransom!
Decryption service is paid !!!! PAYMENT FOR BITCOIN !!!
To decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/
Install it and visit our website for further action http://paymen45oxzpnouz.onion/2044ff3210
Also from your servers files, documents, databases SQL, PDF were uploaded to our cloud storage
After we agree, you will receive a decryption program, valuable advice in order not to fall into this situation in the future, as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Paymen45)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 dnwls071, Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 28 апреля 2020 г.

Light

Light Ransomware

Light Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные серверов и компаний с помощью AES+RSA, а затем требует выкуп в 50.000 долларов, чтобы вернуть файлы и угрожает обнародовать некоторые украденные данных, которые компрометируют сотрудников компании. Оригинальное название: Light. Также называют себя сами хакеры. 

Вымогатели, распространяющие Light, угрожают опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других Ransomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. О подобных акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно о публикации украденных данных, вымогатели пока только угрожали. 

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: предыдущие разработки >> Light


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину-вторую половину апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи известно только об одной компании, пострадавшей от этих вымогателей, это Zaha Hadid Architects (ZHA). Руководство ZHA проигнорировало требования хакеров, взломавших их сеть и специалисты компании восстановили данные из резервных копий на прошлой неделе.

Запиской с требованием выкупа выступает сообщение вымогателей, оставленное на взломанном сервере. Оригинальную записку получить не удалось. 

Другим информатором жертвы выступает Tor-сайт вымогателей. 

Содержание страницы сайта о выкупе:
Welcome to Light
Those who cry to hide breach and pretend it do not happen will appear on list.
Zaha-Hadid.com
Data stolen: Finance data, project data, email dumps, active directory dump, client information, employee information, visa information.
A sample of this data is below. More to be released if not payment
Take extra notice to email dump. It contains information on Zaha-Hadid employees engaging in extra marital affairs in work and flying the mistress to China for sex all while allowing the customer to pay for this. When Zaha-Hadid found out they all agreed to keep this quiet and not tell the customer. Total cost of over $50,000 to customer.
Payroll.7z
Bonus scheme for directors.7z
Bank: Exports.7z
Active Directory dump.7z
Zaha-Hadid.com SSL certificate and password
***'s private email dump

Перевод страницы сайта на русский язык:
Добро пожаловать в Light
Те, кто плачет, чтобы скрыть нарушение и сделать вид, что этого не произошло, появятся в списке.
Zaha-Hadid.com
Похищенные данные: финансовые данные, данные проекта, дампы электронной почты, дамп активного каталога, информация о клиентах, информация о сотрудниках, информация о визах.
Образец этих данных ниже. Больше будет выпущено, если не оплата
Получите дополнительное уведомление, чтобы отправить дамп по электронной почте. Он содержит информацию о сотрудниках Zaha-Hadid, которые занимаются внебрачными отношениями на работе и вывозят любовницу в Китай для секса, позволяя клиенту заплатить за это. Когда Zaha-Hadid узнал, они все согласились хранить молчание и не говорить клиенту. Общая стоимость для клиента более 50 000 $.
Payroll.7z
Бонусная схема для директоров.7z
Банк: Экспорт.7z
Дамп активной директории.7z
Zaha-Hadid.com SSL сертификат и пароль
*** личный email


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Catalin Cimpanu 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WannerCry, Encry

WannerCry Ransomware

Encry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: WannerCry. На файле написано: main.exe. Для Windows x64 систем. Написан на языке Go (Golang). 

Обнаружения:
DrWeb -> Trojan.Encoder.31691
BitDefender -> Trojan.GenericKD.33782838
ALYac -> Trojan.Ransom.GoRansom
ESET-NOD32 -> A Variant Of Win64/Filecoder.BS
Kaspersky -> Trojan-Ransom.Win32.Crypmodadv.ywu
Malwarebytes -> Trojan.FileCryptor.GO
Rising -> Ransom.Crypmodadv!8.291 (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Crypmodadv.Pbyo
TrendMicro -> TROJ_GEN.R002H0CE620
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: другие Golang ransomware >> WannerCry (Encry)
Изображение — логотип статьи

К зашифрованным файлам добавляется не расширение, а приставка: encry-

Примеры зашифрованных файлов:
encry-download.xml
encry-gold.wmf

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *** нет данных ***

Содержание записки о выкупе:
*** нет данных ***

Перевод записки на русский язык:
*** нет данных ***

Скриншоты работы:



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC Не обходит, требуется разрешение на запуск. 


➤ Использует Windows PowerShell для осуществления атаки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
main.exe - основной исполняемый файл вымогателя
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Users\Admin\AppData\Local\Temp\main.exe
D:/Document/GO/wannerCry/main.go
D:/Document/GO/wannerCry/src/RSA/key.go
D:/Document/GO/wannerCry/src/AES/randAesKey.go
D:/Document/GO/wannerCry/src/AES/aes.go
D:/Document/GO/wannerCry/src/EnDecrypt/Encrypt.go

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >> - нужно запускать на Windows x64
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 27 апреля 2020 г.

Geminis3

Geminis3 Ransomware

Geminis3 Ransominator

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: prueba2.exe. Предназначен для атаки Windows x64 систем. 

Обнаружения:
DrWeb -> Trojan.Encoder.31674
BitDefender -> Trojan.Ransom.CDS
Avira (no cloud) -> TR/FileCoder.monij
ESET-NOD32 -> Win64/Filecoder.BQ, A Variant Of Win64/Filecoder.BQ
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Filecoder!8.55A8 (CLOUD)
Symantec -> Downloader, Trojan Horse
TrendMicro -> Ransom.Win64.GEMINI.THDBHBO, Ransom.Win64.GEMINICE.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Geminis3


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .geminis3


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt



Содержание записки о выкупе:
------------- Geminis3's(R) Ransominator(TM) v1.1 -------------
Your personal files have been encrypted with "military grade" encryption and that's not a good thing (evil laughs in the bg)
In order to recover your files you MUST buy our "Gimme Ma Files Back (TM)" tool for just 0.1 BTC
-------------File Recovery.............
Since this is a demo for the MT guys the decription key is:
23***
------------- Warning -------------
Be aware that attempting to run this program again will overwrite this file thus causing decryption key to get lost

Перевод записки на русский язык:
------------- Geminis3's (R) Ransominator (TM) v1.1 -------------
Ваши личные файлы зашифрованы с шифрованием "военного уровня", и это не очень хорошая вещь (зло смеется в bg)
Чтобы восстановить ваши файлы, вы ДОЛЖНЫ купить наш инструмент «Gimme Ma Files Back (TM)» всего за 0.1 BTC
-------------Восстановление файлов.............
Поскольку это демо для MT парней, ключ расшифровки:
23***
------------- Предупреждение -------------
Имейте в виду, что попытка запустить эту программу снова перезапишет этот файл, что приведет к потере ключа дешифрования



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует для шифрования выборочных файлов следующую команду:
C:\Windows\system32\cmd.exe /c for /r %USERPROFILE%\Videos %d in (*.jpg *.jpeg *.doc *docx *pdf *xls *xlsx *ppt *pptx *png *mp3 *txt *zip *rar *7z *mp3 *mp4) do "C:\PROGRA~1\7-ZIP\7Z.EXE" a -tzip -mx0 -sdel -p23162 "%d.geminis3" "%d"


Список файловых расширений, подвергающихся шифрованию:
.7z, .doc, .docx, .jpeg, .jpg, .mp3, .mp4, .pdf, .png, .ppt, .pptx, .rar, .txt, .xls, .xlsx, .zip 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
prueba2.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *