UnluckyWare Ransomware
UnlockYourFiles Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: UnluckyWare. На файле написано: UnluckyWare.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.31932
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> HEUR/AGEN.1130184
ESET-NOD32 -> A Variant Of MSIL/Filecoder.XL
Malwarebytes -> Ransom.ByteLocker
Rising -> Ransom.HiddenTear!8.DC9E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.MSIL.BYTELOCKER.SM
---
© Генеалогия: ✂️ HiddenTear >> ByteLocker + ✂️ Jigsaw > UnluckyWare
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .unwa
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец мая 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки с таймером:
Содержание записки о выкупе:
WARNING! ALL YOUR FILES ARE ENCRYPTED!
Your important files, documents, pictures, etc. Have been encrypted.
Here is a complete list of encrypted files, you can verify this manually.
Encryption was produced using AES-256 in order to unlock your files you need to pay $50 dollars for the AES Key.
The key will only be available for a limited time, after this the key will no longer be able to be purchased.
You can contact us on email : UnluckyWare@torbox3uiot6wchz.onion if we didn't respond contact us on this email : UnluckyWare@mail2tor.com
Please Provide us your ID when you want to send email.
Our Bitcoin Adress : ***
Your ID : ***
Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ! ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши важные файлы, документы, фотографии и т. д. зашифрованы.
Вот полный список зашифрованных файлов, вы можете проверить это вручную.
Шифрование произведено с AES-256, чтобы разблокировать файлы, вам надо заплатить 50$ за ключ AES.
Ключ будет доступен только ограниченное время, после этого ключ уже не сможет быть куплен.
Вы можете связаться с нами по email: UnluckyWare@torbox3uiot6wchz.onion, если мы не ответили, пишите нам по этому адресу: UnluckyWare@mail2tor.com
Пожалуйста, предоставьте нам свой ID, если вы хотите отправить email.
Наш Биткойн-адрес : ***
Ваш ID : ***
Изображение 000000051470.jpg, заменяющее обои Рабочего стола не содержит видимого текста, а только демонстрирует картинку Jigsaw, используемую в Jigsaw Ransomware с 2016 года. Загружается с сайта images.itnewsinfo.com.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Тип запуска: прямой. Без каких-либо вспомогательных файлов.
➤ Строки кода, демонстрирующие связь с предыдущим проектом Bytelocker, на основе которого был сделан UnluckyWare.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
UnluckyWare.exe - исполняемый файл крипто-вымогателя
UnluckyWare.pdb - оригинальное название файла проекта
000000051470.jpg - картинка Jigsaw
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\Generator\Bytelocker\obj\Debug\UnluckyWare.pdb
C:\Users\User\AppData\Local\Temp\UnluckyWare.exe
C:\Windows\000000051470.jpg
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://images.itnewsinfo.com/lmi/articles/grande/000000051470.jpg
Email: UnluckyWare@torbox3uiot6wchz.onion
UnluckyWare@mail2tor.com
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
ByteLocker Ransomware - февраль 2018
ByteLocker Ransomware - 2019 без указания месяца
UnluckyWare Ransomware - май 2020
UnlockYourFiles - апрель-май 2021
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
UnlockYourFiles - апрель-май 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 30 апреля 2021:
Расширение: .485
Файл: UnlockYourFiles.exe
Вариант от 21 мая 2021:
Расширение: .505
Номер расширения может быть и другим.
Email: 4lok3r@protonmail.com, 4lok3r@tutanota.com
BTC: bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0
Файл: UnlockYourFiles.exe
Вариант от 6 июля 2021:
Самоназвание: JanusLocker Ransomware
Расширение: .HACKED (потом удаляется).
Email: TwoHearts911@protonmil.com
BTC: 31jBiv7Vxu8t1CvMFKPeBTbQ7gCA2pNzyN
Пароль дешифрования хранится в реестре HKEY_CURRENT_USER\Software\ByteLocker ключе "id" в виде строки base64, но вылетает при расшифровке.
Файл проекта: C:\Users\Nabil\Desktop\Januslocker\Bytelocker\obj\Debug\Bytelocker.pdb
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34124
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.XL
Malwarebytes -> Malware.AI.3871211566
Microsoft -> Ransom:MSIL/HiddenTear.AB!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.MSIL.BYTELOCKER.SM
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as UnluckyWare) Write-up, Topic of Support *
Thanks: dnwls0719, Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
