GAmmA Ransomware
Aliases: Cat22 Ransomware, GAmmAWare
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.052 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на языке Python 3.8. Разработка: GAmmA Group.
Обнаружения:
DrWeb -> Trojan.Ransom.744
BitDefender -> Trojan.GenericKD.43142296
Avira (no cloud) -> TR/Ransom.fbeaq
ESET-NOD32 -> Python/Filecoder.CL
Malwarebytes -> Ransom.BlackKingdom
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002C0PEC20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: BlackKingdom >> GAmmA, Cat22
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: *нет данных*.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину апреля - начало мая 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Название текстовой записки с требованием выкупа: README.txt
Содержание записки о выкупе:
I'm sorry to inform you that Your whole Enviorement have been hacked !!
all of your Data including ( Data, documents, Videos, Photos, Databases, servers, outlook emails, and way way more ) are encrypted now, and cannot be accessed under any ***
How to get them back >>> ???
all you have to do is to pay us ( $10,000 ) worth of bitcoin to the following address :
***************************** [ 3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7 ]*****************************
if we don't get a transfer within the stated time , all of your data will be destroyed and yet be sold.
you've got 600 minutes to respond for our demands
best regards :)
# for further instructions : feel free to contact us on the following email --> blackingdom@gszmail.com
Перевод записки на русский язык:
Извините, что сообщаю вам, что вся ваша среда взломана!
все ваши данные, включая (данные, документы, видео, фото, базы данных, серверы, почтовые сообщения Outlook и многие другие), зашифрованы и недоступны ни при каких условиях ***
Как вернуть их >>> ???
все, что вам нужно сделать, это заплатить нам ($10,000) в биткойнах по следующему адресу:
***************************** [3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7] ****************** ***********
Если мы не получим перевод в указанный срок, все ваши данные будут уничтожены и также будут проданы.
у вас есть 600 минут, чтобы ответить на наши требования
наилучшие пожелания :)
# для дальнейших инструкций: не стесняйтесь обращаться к нам по следующему адресу электронной почты -> blackingdom@gszmail.com
Другой запиской с требованием выкупа выступает экран блокировки:
Содержание текста с экрана:
Tango Down Bitch!
Seems like you got hit by GAmmA Group!
Don't Panic, you get to have your files back!
GAmmAWare uses a basic encryption script to lock your files.
This type of ransomware is known as CRYPTO.
You'll need a decryption key to unlock your files.
Your files will be deleted when the timer runs out, so you better hurry.
You have 10 hours to find your key!
Payment is accepted with Bitcoin only, Or Google [How to buy Bitcoin]
Payment 0.052 BTC to: 1sd2WD1fEJnUPkGgfTEciWENKtLeUGMQe
After Payment is confirmed Please Email: GAmmA37@protonmail.ch with your IP/hostname & BTC transaction ID to receive your decryption key.
Kind regards,
GAmmA GrouP
Перевод текста на русский язык:
Tango Down Bitch!
Похоже, вы попались GAmmA Group!
Не паникуйте, вы получите свои файлы обратно!
GAmmAWare использует базовый сценарий шифрования для блокировки ваших файлов.
Этот тип вымогателей известен как CRYPTO.
Вам понадобится ключ расшифровки, чтобы разблокировать ваши файлы.
Ваши файлы будут удалены, когда закончится таймер, так что вам лучше поторопиться.
У вас есть 10 часов, чтобы найти свой ключ!
Оплата принимается только в Биткойн, или Google [Как купить Биткойн]
Оплата 0.052 BTC для: 1sd2WD1fEJnUPkGgfTEciWENKtLeUGMQe
После подтверждения оплаты, пожалуйста, отправьте email на адрес: GAmmA37@protonmail.ch с вашим IP/hostname и ID BTC-транзакции, чтобы получить ключ расшифровки.
С уважением,
GAmmA GrouP
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует Quasar RAT (Remote Administration Tool) — инструмент удаленного управления на базе открытого исходного кода, доступный на GitHub. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Cat22.exe
office82.exe (Client.exe)
decryptor.exe
piecespecified.jpg
README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\Downloads\README.txt
C:\Users\Admin\AppData\Local\Temp\Cat22.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
QSR_MUTEX_udGwV1YU8X6NWw316P
Сетевые подключения и связи:
URL: xxxxs://xseo.in/ipinfo
xxxxs://urlscan.io/result/06b675f8-6be4-413a-a441-49385d82168b/
xxxx://185.130.215.18/play/
xxxx://careerscannabi11.ddnsking.com
xxxx://rosoft.com/***
Email-1: blackingdom@gszmail.com
Email-2: GAmmA37@protonmail.ch
BTC: 1sd2WD1fEJnUPkGgfTEciWENKtLeUGMQe
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis (Cat22.exe) >>
Ⓗ Hybrid analysis (Cat22.exe) >>
Ⓗ Hybrid analysis (office82.exe) >>
𝚺 VirusTotal analysis (Cat22.exe) >>
𝚺 VirusTotal analysis (office82.exe) >>
🐞 Intezer analysis (Cat22.exe) >> IA>
🐞 Intezer analysis (office82.exe) >>
ᕒ ANY.RUN analysis (Cat22.exe) >> AR>
ᕒ ANY.RUN analysis (office82.exe) >>
ⴵ VMRay analysis (office82.exe) >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Josh Stroschein, GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
