PonyFinal Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES-128 + RSA-4096, а затем требует выкуп в 300 BTC, чтобы вернуть файлы. Оригинальное название: PonyFinal. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Java.Encoder.4, Java.Encoder.10
BitDefender -> Trojan.Agent.EPAQ
ALYac -> Trojan.JAVA.Agent.Gen
Avira (no cloud) -> JAVA/Agent.tlcur
ESET-NOD32 -> Java/Filecoder.AK
Kaspersky -> HEUR:Trojan.Java.Alien.gen
Symantec -> Ransom.TorrentLocker
Tencent -> Java.Trojan.Alien.Akfb
TrendMicro -> TROJ_FRS.VSNTDC20
---
© Генеалогия: Defray 2018 ??? >> Java ransomware > PonyFinal
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .enc
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: README_files.txt
Содержание записки о выкупе:
Dear **** GROUP,
All your important files were encrypted on all computers.
You can verify this by click on see files an try open them.
Encryption was produced using unique KEY generated for this computer.
To decrypted files, you need to obtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 72 hours after encryption completed.
Pay us 300 BTC , and we will decode upto 3 sample files you send us via email for verification to prove we deliver master key, send file sample to: thecurelegion@protonmail.com
Bitcoins have to be sent to this address: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
After you've sent the payment send us an email to : thecurelegion@protonmail.com with subject : Decryption of files
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.
Перевод записки на русский язык:
Уважаемая **** GROUP,
Все ваши важные файлы зашифрованы на всех компьютерах.
Вы можете убедиться в этом, нажав на кнопку 'see files' и попробуйте открыть их.
Шифрование было сделано с уникальным ключом, сгенерированным для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ.
Единственная копия закрытого ключа, с которой вы сможете расшифровать файлы, находится на секретном сервере в Интернете;
Сервер уничтожит ключ через 72 часов после завершения шифрования.
Заплатите нам 300 BTC, и мы расшифруем до 3 образцов файлов, которые вы отправите нам по email, чтобы подтвердить, что мы предоставим мастер-ключ, отправьте образец файла по адресу: thecurelegion@protonmail.com
Биткойны должны быть отправлены по этому адресу: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
После того, как вы отправили платеж, отправьте нам письмо по адресу: thecurelegion@protonmail.com с темой: Decryption of files
Если вы не знакомы с биткойнами, вы можете купить их здесь:
САЙТ: www.localbitcoin.com
После подтверждения оплаты мы отправим закрытый ключ, чтобы вы могли расшифровать свою систему.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Согласно исследованиям специалистов из Microsoft, злоумышленники, использующие PonyFinal, получают доступ посредством грубых атак на сервер управления системами целевой компании. Они развертывают VBScript для запуска обратной оболочки PowerShell, развертывают систему удаленного манипулятора для обхода регистрации событий, в некоторых случаях внедряют Java Runtime Environment.
➤ PonyFinal поставляется через файл MSI, который содержит два пакетных файла и пейлоад программы-вымогателя. UVNC_Install.bat создает запланированное задание с именем "Java Updater" и вызывает RunTask.bat, который запускает пейлоад PonyFinal.JAR.
➤ Запуск в работу:
➤ PonyFinal шифрует файлы в определенную дату и время.
Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .7z, .900, .accdb, .ai, .apk, .arc, .arch00, .arj, .arw, .asp, .aspx, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cda, .cdr, .cer, .cfr, .config, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dba, .dbf, .dcr, .deb, .der, .des, .desc, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gz, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .lay, .layout, .lbf, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrw, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkg, .pkpass, .png, .pot, .pps, .ppt, .ppt, .pptm, .pptx, .ps, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rpm, .rtf, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sie, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tar.gz, .tax, .tif, .tiff, .tor, .TSF, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wbk, .wma, .wmo, .wmv, .wotreplay, .wpd, .wpl, .wps, .x3f, .xf, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xxx, .z, .zip, .ztmp (243 расширения) и файлы wallet.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README_files.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
tmp.jar
PonyFinal.jar
RunTask.bat
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\tmp.jar
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: thecurelegion@protonmail.com
BTC: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >> - тип файла не поддерживается
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 15 декабря 2020:
Расширение: .crypted
Записка: README_files.txt
Email: thecurelegion@protonmail.com
➤ Обнаружения:
DrWeb -> Java.Encoder.10
BitDefender -> Java.Trojan.GenericGBA.28370
ESET-NOD32 -> Java/Filecoder.AN
Kaspersky -> HEUR:Trojan-Ransom.Java.Generic
Tencent -> Java.Trojan.Generic.Gvk
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as PonyFinal) Write-up, Topic of Support *
Thanks: Petrovic, Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
