Creepy

Creepy Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Creepy Ransomware.exe

Обнаружения:
DrWeb -> Trojan.Siggen9.37638, Trojan.Ransom.739
BitDefender -> Gen:Heur.Ransom.MSIL.1
Avira (no cloud) -> TR/Ransom.mrudc
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ZG
Malwarebytes -> Ransom.Creepy
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom.MSIL.CREEPY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Creepy

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .creepy

Фактически используется составное расширение по шаблону: 
[xxx-xxx][<email_ransom>].creepy

Примеры зашифрованных файлов: 
file001.jpg[m59-342][Zir0@airmail.cc].creepy
file001.jpg[5zk-t21][Heeeh98@tutanota.com].creepy


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME ASAP.txt

Содержание записки о выкупе:
Your system files are encrypted by `Creepy Ransomware`
Your system key ==> `1ht-ery`
Contact us to learn more about how to recover your files (not free) ==>
Zir0@airmail.cc
Zir0@keemail.me

Перевод записки на русский язык:
Ваши системные файлы зашифрованы `Creepy Ransomware`
Ваш системный ключ ==> `1ht-ery`
Напишите нам, чтобы узнать как вернуть ваши файлы (не бесплатно) ==>
Zir0@airmail.cc
Zir0@keemail.me

Запиской с требованием выкупа также выступает экран блокировки: 

Содержание текста с экрана:
Your files are encrypted by Creepy Ransomware
What is `Creepy Ransomware` ?
Its a powerful ransomware based on `RSA`,`AES, `CUSTOM` encryption algorithms
that can completly detect and ecnrypt your system files in a short time
How can i recover my files ?
The only way to recover your files , is `Creepy Ransomware` official decryption tool
There is no other way , so please ignore wasting your time
How can i access `Creepy Ransomware` decryption tool ?
You can contact us via following mail addresses.
To ensure that our decryption tool works you can send max 3 files (ech files less than 4MB)
And get decrypted file back
Zir0@airmail.cc
Zir0@keemail.me

Перевод текста на русский язык:
Ваши файлы зашифрованы Creepy Ransomware
Что такое `Creepy Ransomware`?
Это мощный ransomware, основанный на алгоритмах шифрования `RSA`,` AES, `CUSTOM`
который вполне может обнаружить и зашифровать ваши системные файлы за короткое время
Как я могу восстановить мои файлы?
Единственный способ восстановить ваши файлы, это официальный инструмент дешифрования `Creepy Ransomware`
Другого пути нет, поэтому, пожалуйста, не тратьте время впустую
Как я могу получить доступ к инструменту расшифровки `Creepy Ransomware`?
Вы можете связаться с нами по следующим email-адресам.
Чтобы убедиться, что наш инструмент дешифрования работает, вы можете отправить максимум 3 файла (например, файлы размером менее 4 МБ)
И получить расшифрованный файл обратно
Zir0@airmail.cc
Zir0@keemail.me

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Fallout EK), вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует следующие команды для отключения фаервола Windows:
 cmd.exe /C NetSh Advfirewall set allprofiles state off
 netsh.exe NetSh Advfirewall set allprofiles state off

Список файловых расширений, подвергающихся шифрованию:
.exe, .jpg, .sol, .sqlite, .url, .xml и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME ASAP.txt - название файла с требованием выкупа
guard.exe
Creepy Ransomware.exe
creepyransowareencryptedyourfiles.exe
A-f1247bbd5cb97e054289e61ec716028ca284007ea13a59a65a8212bd3539d341_1.exe
Creepy Ransomware Ecnrypted your files.exe
Creepy Ransomware Ecnrypted your files.pdb
speachruntime.exe
speachruntime.pdb
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\ph09nix\source\repos\Creepy Ransomware\GUI\Show GUI\obj\Release\Creepy Ransomware Ecnrypted your files.pdb
C:\Users\ph09nix\source\repos\Creepy Ransomware Guard 2\obj\Release\speachruntime.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: Zir0@airmail.cc
Email-2: Heeeh98@tutanota.com - этот email замечен в TheDRM Ransomware (13-17 апреля 2020). 
URLs: http://nilll-2.online/ondetverifier.php
http://coronaworldometers.info/
http://cash4iphone.com/
http://icloud.com-mx.es/
https://webapps-section-manage.fbusernamechange.ga/
http://bipranware.net/*
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>  VT>
🐞 Intezer analysis >>  IA>  IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Есть более раннее сообщение об это вымогателе от 6 апреля 2020:
Топик на форуме >>
Расширение: .creepy
Пример зашифрованного файла: [Heeeh98@tutanota.com][id=XXXXXXXX]file001.doc.creepy
Email: Heeeh98@tutanota.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.