Rogue HT

Rogue HT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Rogue (указано в расширение и на сайте вымогателей). На файле написано: compito italiano.doc. Видеообзор от Cyber Security GrujaRS >>

Обнаружения:
DrWeb -> Trojan.Encoder.10598, Trojan.Encoder.31711
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.33760739
ALYac -> Trojan.Ransom.Rogue
Avira (no cloud) -> HEUR/AGEN.1001382
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK, A Variant Of MSIL/Filecoder.FU
McAfee -> Ransomware-FTD!042A6755ED9E
Malwarebytes -> Ransom.FileCryptor

Microsoft -> Ransom:Win32/HiddenTear.gen
Rising -> Ransom.HiddenTear!1.C2BD (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom_RAMSIL.SM, Ransom_HiddenTear.R002C0DE120
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: HiddenTear >> Rogue HT

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .rogue


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Your personal files have been ecrypted
Go on these websites
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/

Перевод записки на русский язык:

Ваши личные файлы были зашифрованы
Перейти на эти сайты
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола: 

 

Содержание текста с изображения:
ROGUE RANSOMWARE
Your documents, photos, databases and other important files
have been encrypted
if you understand all importance of situation
then we propose to you to go directly on your personal page
where you will receive the complete instructions
and guarantees to restore your files.
there is a list of temporaney addresses
to go on your personal page below:
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/

Перевод текста на русский язык:
ROGUE RANSOMWARE
Ваши документы, фотографии, базы данных и другие важные файлы
были зашифрованы
если вы понимаете всю важность ситуации
тогда мы предлагаем вам зайти прямо на вашу личную страницу
где вы получите полную инструкцию
и гарантирует восстановить ваши файлы.
есть список временных адресов
перейти на вашу личную страницу ниже:
xxxx://dey574i76jyfd75itvu6r875.altervista.org/
xxxx://kugiutftyi67fhjoiu9897ty.altervista.org/
xxxx://fi7t67rfug8i6657476fo8yy.altervista.org/
xxxx://vctrrte5htfee65yfrtweyu7.altervista.org/

Скриншоты с сайта вымогателей:

Содержание страницы сайта:
INSTRUCTIONS
send 0.05 BTC to
3GSN4bjDXiBwUGHefE7vkcZA78hMcocXrb
Go to Payment
and click Payment received
for your key contact 509@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
compito italiano.doc.exe - исполняемый файл
READ_IT.txt - название файла с требованием выкупа
rogue.png - изображение загружаемое с сайта wannadie.altervista.org
System.CodeDom.dll - сопутствующий файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://wannadie.altervista.org/rogue.png
Email: 509@protonmail.com
BTC: 3GSN4bjDXiBwUGHefE7vkcZA78hMcocXrb
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 мая 2020:
Пост в Твиттере >>
Файл: Attachment.exe
Результаты анализов: VT + HA + IA + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31711
BitDefender -> Trojan.GenericKD.33760739
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FU
Microsoft -> Ransom:Win32/HiddenTear.gen
TrendMicro -> Ransom_HiddenTear.R002C0DE120

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.