четверг, 30 апреля 2020 г.

Paymen45

Paymen45 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Среда разработки: библиотека Crypto++. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31700, Trojan.Encoder.31793
BitDefender -> Trojan.GenericKDZ.66838, Gen:Variant.Ursu.849717, Gen:Variant.Midie.72044
ALYac -> TR/AD.RansomHeur.lnhyk
Avira (no cloud) -> TR/AD.RansomHeur.bffyr
ESET-NOD32 -> Win32/Filecoder.NSF
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Trojan.MalPack.GS, Spyware.Agent
Rising -> Malware.Heuristic!ET#90% (RDMK:cmRtazre9*, Trojan.Kryptik!8.8 (CLOUD), Trojan.Kryptik!1.C5BA (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R069H0CE120, TROJ_GEN.R002C0DE120
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Oled > Paymen45

Изображение — логотип статьи

К зашифрованным файлам предположительно добавляется расширение: 
.<random> или .<similar_to_random>

➤ Пример, который обнаружен у разных пострадавших: .g8R4rqWIp9
Возможно, это статическое расширение является основным. 
Позже появились варианты с другим расширениями. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец апреля 2020 г. Судя по датам создания разных образцов эта программа-вымогатель могла быть создана в мае 2019 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt


Содержание записки о выкупе:
Dear user! Your computer is encrypted! We demand a ransom!
Decryption service is paid !!!! PAYMENT FOR BITCOIN !!!
To decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/
Install it and visit our website for further action http://paymen45oxzpnouz.onion/f4f74e9a11
Also from your servers files, documents, databases SQL, PDF were uploaded to our cloud storage
After we agree, you will receive a decryption program, valuable advice in order not to fall into this situation in the future, as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.

Перевод записки на русский язык:
Дорогой пользователь! Ваш компьютер зашифрован! Мы требуем выкуп!
Услуга расшифровки платная !!!! ОПЛАТА ЗА БИТКОЙНЫ !!!
Для расшифровки вашего компьютера вам надо скачать TOR-браузер по адресу https://www.torproject.org/download/
Установите его и посетите наш сайт для дальнейших действий http://paymen45oxzpnouz.onion/f4f74e9a11
Также с ваших серверов в наше облачное хранилище были загружены файлы, документы, базы данных SQL, PDF.
После того, как мы согласимся, вы получите программу дешифрования, ценные советы, чтобы не попасть в эту ситуацию в будущем, а также все ваши файлы на нашем сервере будут удалены.
Иначе они попадут в открытый доступ в интернет!
Использование любой сторонней программы для восстановления ваших данных или антивирусных решений приведет к потере данных.
Пожалуйста, будьте уверены, что мы найдем общий язык. Мы восстановим все данные и дадим вам рекомендации по настройке защиты вашего сервера.


Инструкцией по уплате выкупа выступает onion-сайт вымогателей: 

 
 

Содержание сайта вымогателей: 
Your local network has been hacked
Your documents, photos, databases and other important files are encrypted
To decrypt your files you need to contact us via chat. We demand a ransom!
You can do it right now. Use chat bellow. But remember that you do not have much time
Contact with support
-
Enter your ID code to start
Your ID ***
[Next]
---
Contact with support
-
We have received your details.
If you are serious about decrypting your data, then pay via BTC (bitcoin) for activation CHAT with our support
The amount: $10 (summ in bitcoin 0.00115) to address:
1payWS2MDcUTpYEV8aw3jYKUHaWAs3mcY

Перевод содержания сайта на русский язык:
Ваша локальная сеть взломана
Ваши документы, фото, базы данных и другие важные файлы зашифрованы
Для расшифровки ваших файлов вам надо связаться с нами через чат. Мы требуем выкуп!
Вы можете сделать это прямо сейчас. Используйте чат ниже. Но помните, что у вас немного времени
Контакт с поддержкой
-
Введите свой ID код, чтобы начать
Ваш ID ***
[Далее]
---
Контакт с поддержкой
-
Мы получили ваши данные.
Если вы серьезно относитесь к расшифровке ваших данных, то заплатите через BTC (биткойн) за активацию ЧАТа с нашей поддержкой.
Сумма: $10 (сумма в биткойнах 0,00115) по адресу:
1payWS2MDcUTpYEV8aw3jYKUHaWAs3mcY




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ ID находится в конце зашифрованного файла.

/ID [<5C916CA0A77615D82F2C7A81A6338AF9><5C916CA0A77615D82F2C7A81A6338AF9>]

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://paymen45oxzpnouz.onion/f4f74e9a11
Tor-URL в примере: xxxx://paymen45oxzpnouz.onion/f4f74e9a11
Email: - 
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Oled (Oled-Makop) Ransomware
Makop Ransomware
Paymen45 Ransomware


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 мая 2020:
Ещё один случай с тем же Paymen45 Ransomware
Пост на форуме >>
Расширение: .g8R4rqWIp9
Записка: readme.txt

Обновление от 11 мая 2020:
Пост в Твиттере >>
Расширение: .KJHslgjkjdfg
Записка: readme-warning.txt
Tor-URL: xxxx://paymen45oxzpnouz.onion/
Название файла проекта: C:\socicepi75_vecesakalimubefebe-yirafenuxahesi-hayixofojuzokoxa29 r.pdb
Мьютекс: m23071644
Файл exe: lok.exe, output.159342821.txt {EXE}
Результаты анализов: VT + AR + VMR / VT + VMR

➤ Содержание записки: 
Dear user! Your computer is encrypted! We demand a ransom!
Decryption service is paid !!!! PAYMENT FOR BITCOIN !!!
Also from your servers files, documents, databases SQL, PDF were uploaded to our cloud storage
After we agree, you will receive a decryption program, valuable advice in order not to fall into this situation in the future, as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server. 
COMMUNICATION METHOD:
To decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/
Install it and visit our website for further action http://paymen45oxzpnouz.onion/DE3DF***


Обновление от 12-13 мая 2020:
Расширение: .encrypted
Записка: readme.txt



Обновление от 22 июня 2020:

Пост на форуме >>
Расширение: .notron
Записка: readme.txt
Tor-URL: xxxx://paymen45oxzpnouz.onion/

➤ Содержание записки:
Dear user! Your computer is encrypted! We demand a ransom!
Decryption service is paid !!!! PAYMENT FOR BITCOIN !!!
To decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/
Install it and visit our website for further action http://paymen45oxzpnouz.onion/2044ff3210
Also from your servers files, documents, databases SQL, PDF were uploaded to our cloud storage
After we agree, you will receive a decryption program, valuable advice in order not to fall into this situation in the future, as well as all your files on our server will be deleted.
Otherwise, they will fall into the open access of the Internet!
Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Paymen45)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 dnwls071, Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

4 комментария:

  1. Dear user! Your computer is encrypted! We demand a ransom!
    Decryption service is paid !!!! PAYMENT FOR BITCOIN !!!
    To decrypt your computer, you need to download the TOR browser at https://www.torproject.org/download/
    Install it and visit our website for further action http://paymen45oxzpnouz.onion/9a5b940afb
    Also from your servers files, documents, databases SQL, PDF were uploaded to our cloud storage
    After we agree, you will receive a decryption program, valuable advice in order not to fall into this situation in the future, as well as all your files on our server will be deleted.
    Otherwise, they will fall into the open access of the Internet!
    Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
    Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.

    ОтветитьУдалить
    Ответы
    1. Now it is important to collect all cases in one topic on the forum. If can be decrypt the files in the future, you will receive a message.
      https://www.bleepingcomputer.com/forums/t/718280/

      Удалить
  2. Pls give us decryption method pls pls my hospitals 4 computer affected by this virus pls pls help
    I am.from India for decryption I can also pay you

    ОтветитьУдалить
    Ответы
    1. If I could help, I would help you for free. Now it is important to collect all cases in one topic on the forum. If can be decrypt the files in the future, you will receive a message.
      https://www.bleepingcomputer.com/forums/t/718280/

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *