Если вы не видите здесь изображений, то используйте VPN.

пятница, 29 мая 2020 г.

UnluckyWare

UnluckyWare Ransomware

UnlockYourFiles Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: UnluckyWare. На файле написано: UnluckyWare.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.31932
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> HEUR/AGEN.1130184
ESET-NOD32 -> A Variant Of MSIL/Filecoder.XL
Malwarebytes -> Ransom.ByteLocker
Rising -> Ransom.HiddenTear!8.DC9E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.MSIL.BYTELOCKER.SM
---

© Генеалогия: ✂️ HiddenTear >> ByteLocker + 
✂️ Jigsaw UnluckyWare
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .unwa


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец мая 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с таймером: 

Содержание записки о выкупе:
WARNING! ALL YOUR FILES ARE ENCRYPTED!
Your important files, documents, pictures, etc. Have been encrypted.
Here is a complete list of encrypted files, you can verify this manually.
Encryption was produced using AES-256 in order to unlock your files you need to pay $50 dollars for the AES Key.
The key will only be available for a limited time, after this the key will no longer be able to be purchased.
You can contact us on email : UnluckyWare@torbox3uiot6wchz.onion if we didn't respond contact us on this email : UnluckyWare@mail2tor.com
Please Provide us your ID when you want to send email.
Our Bitcoin Adress : ***
Your ID : ***

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши важные файлы, документы, фотографии и т. д. зашифрованы.
Вот полный список зашифрованных файлов, вы можете проверить это вручную.
Шифрование произведено с AES-256, чтобы разблокировать файлы, вам надо заплатить 50$ за ключ AES.
Ключ будет доступен только ограниченное время, после этого ключ уже не сможет быть куплен.
Вы можете связаться с нами по email: UnluckyWare@torbox3uiot6wchz.onion, если мы не ответили, пишите нам по этому адресу: UnluckyWare@mail2tor.com
Пожалуйста, предоставьте нам свой ID, если вы хотите отправить email.
Наш Биткойн-адрес : ***
Ваш ID : ***


Изображение 000000051470.jpg, заменяющее обои Рабочего стола не содержит видимого текста, а только демонстрирует картинку Jigsaw, используемую в Jigsaw Ransomware с 2016 года. Загружается с сайта images.itnewsinfo.com.






Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Тип запуска: прямой. Без каких-либо вспомогательных файлов. 
 Строки кода, демонстрирующие связь с предыдущим проектом Bytelocker, на основе которого был сделан UnluckyWare.
 Скриншоты от исследователей:



Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
UnluckyWare.exe - исполняемый файл крипто-вымогателя
UnluckyWare.pdb - оригинальное название файла проекта
000000051470.jpg - картинка Jigsaw

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\Generator\Bytelocker\obj\Debug\UnluckyWare.pdb
 C:\Users\User\AppData\Local\Temp\UnluckyWare.exe
 C:\Windows\000000051470.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://images.itnewsinfo.com/lmi/articles/grande/000000051470.jpg
Email: UnluckyWare@torbox3uiot6wchz.onion
UnluckyWare@mail2tor.com
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

ByteLocker 
Ransomware  - февраль 2018 
ByteLocker Ransomware - 2019 без указания месяца 
UnluckyWare Ransomware - май 2020
UnlockYourFiles - апрель-май 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 апреля 2021:
Расширение: .485
Файл: UnlockYourFiles.exe
Результаты анализов: VT + IA + AR

Вариант от 21 мая 2021:
Расширение: .505
Номер расширения может быть и другим. 
Email: 4lok3r@protonmail.com, 4lok3r@tutanota.com
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
Файл: UnlockYourFiles.exe
Результаты анализов: VT + IA + JSB  



Вариант от 6 июля 2021:
Самоназвание: JanusLocker Ransomware
Расширение: .HACKED (потом удаляется). 
Email: TwoHearts911@protonmil.com
BTC: 31jBiv7Vxu8t1CvMFKPeBTbQ7gCA2pNzyN
Пароль дешифрования хранится в реестре HKEY_CURRENT_USER\Software\ByteLocker ключе "id" в виде строки base64, но вылетает при расшифровке. 


Файл проекта: C:\Users\Nabil\Desktop\Januslocker\Bytelocker\obj\Debug\Bytelocker.pdb
Результаты анализов: VT + IA


➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34124
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.XL
Malwarebytes -> Malware.AI.3871211566
Microsoft -> Ransom:MSIL/HiddenTear.AB!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.MSIL.BYTELOCKER.SM






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as UnluckyWare)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *