GhosTEncryptor Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GhosTEncryptor. На файле написано: GhosTEncryptor.exe. Сообщается о том, что это тестовый шифровальщик, но шифрование файлов это не тест, это умышленное повреждение файлов. В таком случае, это еще одна "обезьяна с гранатой".
Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:NN.ZemsilF.34108
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> HEUR/AGEN.1130184
ESET-NOD32 -> a variant of MSIL/Filecoder.AK
Malwarebytes -> Ransom.Gh0st
Microsoft -> Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.Ryzerlo!8.782 (CLOUD)
Symantec -> Ransom.HiddenTear!g1, Trojan.Gen.MBT
TrendMicro -> Ransom_RAMSIL.SM
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: HiddenTear (modified) >> GhosTEncryptor
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .locked
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был найден в начале марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ_ME.txt
Содержание записки о выкупе:
All your personal files have been encrypted with GhosTEncryptor. The only way to get your files back is to message us for decryptor, the decryptor is absolutely free. Also, this is ransomware was made for testing purposes, please note that it does encrypt files, but the key to decrypt them is 123456789.
Перевод записки на русский язык:
Все ваши личные файлы зашифрованы с GhosTEncryptor. Единственный способ вернуть ваши файлы - это отправить нам сообщение для расшифровщика, расшифровщик абсолютно бесплатен. Кроме того, это вымогатель был сделан для целей тестирования, обратите внимание, что он шифрует файлы, но ключ для их расшифровки 123456789.
Имеется экран блокировки с полем для ввода ключа расшифровки. После ввода указанного ключа 123456789 сообщается о том, что ключ неправильный.
Warning! You're about to run a serious ransomware on your computer.
It is important, to run the ransomware on a virtual machine!
Please note, that the author of the program does not take
any responsibilites for any lost files caused by this program!
Continue?
Перевод на русский язык:
Предупреждение! Вы собираетесь запустить серьезный вымогатель на вашем компьютере.
Важно, чтобы запустить вымогателя на виртуальной машине!
Заметьте, что автор программы не в ответе за потерянные файлы из-за этой программы!
Продолжить?
---
Судя по коду, должен быть еще текст:
You've became a victim of GhosTEncryptor.
Don't even waste your time on searching for a decryption tool.
It'll be useless, since the program uses AES-256 military grade encryption algorithm.
Please note, that the program does encrypt files, but it's only made for testing purposes.
Author of the program does not take any responsibilities for any lost files.
The key you got after the payment:
The bitcoin address is completly random, the key is 123456789
Bitcoin adress: VtFBPQC8GDE1EB3ubYc9URkTqhUntqQTat
Перевод на русский язык:
Вы стали жертвой GhosTEncryptor.
Даже не тратьте свое время на поиск инструмента расшифровки.
Это будет бесполезно, поскольку в программе используется алгоритм шифрования AES-256 военного уровня.
Обратите внимание, что программа шифрует файлы, но она предназначена только для тестирования.
Автор программы не несет никакой ответственности за потерянные файлы.
Ключ, который вы получили после оплаты:
Биткоин-адрес совершенно случайный, ключ 123456789
Биткоин-адрес: VtFBPQC8GDE1EB3ubYc9URkTqhUntqQTat
Технические детали
Сообщается, что шифровальщик сделан для тестирования, но ничего неизвестно о его распространении. После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dcr, .der, .dng, .docm, .dwg, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .lnk, .mdf, .mef, .nrw, .odb, .odc, .odm, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .png, .pptm, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xlsb, .xlsm (58 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, файлы образов и пр.
Файлы, связанные с этим Ransomware:
READ_ME.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
GhosTEncryptor.exe - исполняемый файл вымогателя
GhosTEncryptor.pdb - оригинальный файл проекта
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\manoi\source\repos\GhosTEncryptor\GhosTEncryptor\obj\Release\GhosTEncryptor.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: VtFBPQC8GDE1EB3ubYc9URkTqhUntqQTat
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as HiddenTear) Write-up, Topic of Support *
Thanks: Petrovic, GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
