пятница, 10 апреля 2020 г.

PonyFinal

PonyFinal Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES-128 + RSA-4096, а затем требует выкуп в 300 BTC, чтобы вернуть файлы. Оригинальное название: PonyFinal. На файле написано: нет данных.

Обнаружения:
DrWeb -> Java.Encoder.4
BitDefender -> Trojan.Agent.EPAQ
ALYac -> Trojan.JAVA.Agent.Gen
Avira (no cloud) -> JAVA/Agent.tlcur
ESET-NOD32 -> Java/Filecoder.AK
Kaspersky -> HEUR:Trojan.Java.Alien.gen
Symantec -> Ransom.TorrentLocker
Tencent -> Java.Trojan.Alien.Akfb
TrendMicro -> TROJ_FRS.VSNTDC20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Defray 2018 ??? >> Java ransomware > PonyFinal


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .enc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_files.txt

Содержание записки о выкупе:
Dear **** GROUP,
All your important files were encrypted on all computers.
You can verify this by click on see files an try open them.
Encryption was produced using unique KEY generated for this computer.
To decrypted files, you need to obtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 72 hours after encryption completed.
Pay us 300 BTC , and we will decode upto 3 sample files you send us via email for verification to prove we deliver master key, send file sample to: thecurelegion@protonmail.com
Bitcoins have to be sent to this address: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
After you've sent the payment send us an email to : thecurelegion@protonmail.com with subject : Decryption of files
If you are    not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:
Уважаемая **** GROUP,
Все ваши важные файлы зашифрованы на всех компьютерах.
Вы можете убедиться в этом, нажав на кнопку 'see files' и попробуйте открыть их.
Шифрование было сделано с уникальным ключом, сгенерированным для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ.
Единственная копия закрытого ключа, с которой вы сможете расшифровать файлы, находится на секретном сервере в Интернете;
Сервер уничтожит ключ через 72 часов после завершения шифрования.
Заплатите нам 300 BTC, и мы расшифруем до 3 образцов файлов, которые вы отправите нам по email, чтобы подтвердить, что мы предоставим мастер-ключ, отправьте образец файла по адресу: thecurelegion@protonmail.com
Биткойны должны быть отправлены по этому адресу: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
После того, как вы отправили платеж, отправьте нам письмо по адресу: thecurelegion@protonmail.com с темой: Decryption of files
Если вы не знакомы с биткойнами, вы можете купить их здесь:
САЙТ: www.localbitcoin.com
После подтверждения оплаты мы отправим закрытый ключ, чтобы вы могли расшифровать свою систему.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Согласно исследованиям специалистов из Microsoft, 
злоумышленники, использующие PonyFinal, получают доступ посредством грубых атак на сервер управления системами целевой компании. Они развертывают VBScript для запуска обратной оболочки PowerShell, развертывают систему удаленного манипулятора для обхода регистрации событий, в некоторых случаях внедряют Java Runtime Environment.  



  PonyFinal поставляется через файл MSI, который содержит два пакетных файла и пейлоад программы-вымогателя. UVNC_Install.bat создает запланированное задание с именем "Java Updater" и вызывает RunTask.bat, который запускает пейлоад PonyFinal.JAR.

➤ Запуск в работу: 

➤ PonyFinal шифрует файлы в определенную дату и время. 

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .7z, .900, .accdb, .ai, .apk, .arc, .arch00, .arj, .arw, .asp, .aspx, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cda, .cdr, .cer, .cfr, .config, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dba, .dbf, .dcr, .deb, .der, .des, .desc, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gz, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .lay, .layout, .lbf, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrw, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkg, .pkpass, .png, .pot, .pps, .ppt, .ppt, .pptm, .pptx, .ps, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rpm, .rtf, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sie, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tar.gz, .tax, .tif, .tiff, .tor, .TSF, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wbk, .wma, .wmo, .wmv, .wotreplay, .wpd, .wpl, .wps, .x3f, .xf, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xxx, .z, .zip, .ztmp (243 расширения) и файлы wallet. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_files.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
tmp.jar
PonyFinal.jar
RunTask.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\tmp.jar

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: thecurelegion@protonmail.com
BTC: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  - тип файла не поддерживается
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PonyFinal)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *