вторник, 30 июня 2020 г.

FlowEncrypt

FlowEncrypt Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует даже не оставляется контактов для связи и не выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на AutoIt. На файле написано: flow Encrypt.exe

Обнаружения:
DrWeb -> Trojan.Encoder.32164
BitDefender -> Trojan.GenericKD.43417871, Trojan.GenericKD.43417866
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1130550
ESET-NOD32 -> A Variant Of Win32/Filecoder.Autoit.AH
Malwarebytes -> Trojan.MalPack.AutoIt.Generic
Microsoft -> Trojan:Win32/Ymacco.AA1F, Trojan:Win32/Ymacco.AA8F
Qihoo-360 -> Win32/Trojan.Ransom.2a9, Win32/Trojan.Ransom.387
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Crypren.Pfsw, Win32.Trojan.Filecoder.Svhq
TrendMicro -> Trojan.AutoIt.FlowEncrypt.A, Ransom_Crypren.R023C0PG320
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: другие AutoIt ransomware >> FlowEncrypt


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .flowEncryption


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июня 2020 г. Вероятно ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру. Сообщения о зашифрованных файлах были из Китая. 

Записка с требованием выкупа не оставляется.





Технические детали

FlowEncrypt представляет собой программу, скомпилированную сценарием AutoIt, которая используют для шифрования файлов жертвы CSP Microsoft. Из декомпилированного файла сценария .au3 можно увидеть, что функция шифрования файла скопирована из исходного кода разработки, опубликованной "Revers3c-Team" на Github. Авторы FlowEncrypt вирусов используют этот исходный код для шифрования файлов, без вымогательства денег за расшифровку, чтобы навредить другим для собственного удовольствия. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск. 


➤ Добавляется в Автозагрузку, чтобы шифровать файлы и после перезагрузки ПК.

Целевые директории: 
C: и другие, включая внешние
Desktop
Downloads
Pictures
Music
Videos
Documents
AppData



Список файловых расширений, подвергающихся шифрованию:
Все файлы, входящие в список целевых директорий. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
flow Encrypt.exe
<ransom_note>.txt - название файла с требованием выкупа
kcSRmI2EJFhNu6Lb.exe - случайное название вредоносного файла
1f7b0aa3503292e18290b47727ea943f36025d98b73ba2894e66c165cce63837.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\1f7b0aa3503292e18290b47727ea943f36025d98b73ba2894e66c165cce63837.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Инструмент "360 ransomware decryption tools" может расшифровать файлы.
Ссылка: https://free.360totalsecurity.com/totalsecurity/FileDec/desetup_en.exe
***
 - скриншот с результатом расшифровки. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as FlowEncrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 xiaopao, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Rabbit, RabbitWare

Rabbit Ransomware

Aliases: RabbitWare, Taiwan Rabbit

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0400 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: รูปภาพที่ต้องลบ.exe. Написан на языке Python. 

Обнаружения:
DrWeb -> Python.Encoder.16, Python.Encoder.17
BitDefender -> Trojan.GenericKD.43446763
ALYac -> Trojan.Ransom.Python
Avira (no cloud) -> TR/Ransom.qhubx
ESET-NOD32 -> Python/Filecoder.CL
Kaspersky -> Trojan-Spy.Win32.Stealer.syk
Malwarebytes -> Ransom.FileLocker.Python
Microsoft -> Trojan:Win32/Ymacco.AA12
Rising -> Trojan.Generic@ML.89 (RDML:*)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.RABBIT.THGOABO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: предыдущие Python ransomware Ⓟ >> Rabbit Ransomware (RabbitWare)
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .RABBIT


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден к конце июня 2020 г. Штамп даты: 5 января 2020 г. Ориентирован на тайскоязычных и тайваньских пользователей, что не мешает распространять его по всему миру.

Записка с со ссылкой на онлайн-сообщение называется: อ่านวิธีแก้ไฟล์โดนล๊อค.txt

Он содержит краткий тест и изображение кролика:
How to fix .RABBIT lock read >>  https://pastebin.com/raw/K9DwMHWa

Сообщение по ссылке отражено на следующем скриншоте:
 
Первое открыто в Блокноте, а второе в браузере Google Chrome. 

При переходе по ссылке в браузере открывается следующее сообщение:


Rabbit Ransomware RabbitWare шифровальщик, шифратор

Содержание онлайн-записки с требованием выкупа:
                  ...                          
                  `.`   .-            ..`..       
                 -`      .`          -`   `.`     
                -         -         -`      -`    
               -         `.        -         :    
              .          :        ..         -    
              -         .`       `/         `.    
             -          -        +`         -     
             -         :`        /        `-      
             -        --        -`       `-       
            -`       `/```````  :       ..        
            : `---..`-.`````````.....  -.         
           ./-`                     `-:.          
         -:`      .`-`      . `       -.          
        :`         -`.     `.-`-       -          
       -`          o        +`         `-         
      .-          :+       :/          `/         
      :           .   ``   :           :-         
      :            `  +o-              s`         
      -`           /`:o:  :`           :          
       .`           +:-o..`          `-`          
        `..          --`           .-`            
           ..`.`           ````.---`              
               `..`.....``..``.                   
                                              
สวัสดีค่ะ,
เครื่องของคุณโดนไวรัสกระต่ายน้อย Rabbit Ransomware!
ระหว่างที่คุณกำลังอ่านข้อความนี้อยู่ RabbitWare ของเราได้ทำการเข้ารหัสไฟล์ในเครื่องของคุณอย่างแน่นหนา
ด้วย algorithm AES-256 ซึ่งคุณจำเป็นต้องใช้ Key ที่ตรงกับ algorithm ข้างต้นในการถอดรหัสไฟล์
เราได้เก็บ Key เฉพาะเครื่องของคุณและเครื่องอื่นๆที่ถูก RabbitWare ของเราเอาไว้แล้ว 
ซึ่งแต่ละเครื่อง Key จะไม่เหมือนกัน และจะไม่สามารถหาทางแก้เองได้ค่ะ
ในการขอ Key ปลดล๊อคไฟล์ คุณต้องโอนเป็นจำนวน 0.0400 btc (เทียบเท่า 8,000 บาท) เป็น Bitcoin มาตามที่อยู่ด้านล่าง
1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
หากคุณไม่แน่ใจว่าเราสามารถกู้ไฟล์ได้จริงมั้ย ? สามารถส่ง 1 ไฟล์ (ซึ่งต้องไม่ใช่ไฟล์สำคัญ) มาที่ email ด้านล่าง เราจะถอดรหัสไฟล์ให้ฟรี 1 ไฟล์ค่ะ
เมื่อส่ง Bitcoin ตามจำนวนที่ว่าแล้วให้ติดต่อขอรับ Key ปลดล๊อคไฟล์ได้ที่เมลนี้เลย
contact / ติดต่อ ส่งอีเมล์มาที่ : unlock_rabbit@pm.me 
สามารถหาซื้อ Bitcoin ได้ที่
http://coins.co.th/
https://www.bitkub.com/
https://paxful.com/th
https://localbitcoins.com/

Перевод онлайн-записки на русский язык:
Привет,
Ваше устройство заражено Rabbit Ransomware!
Пока вы читаете это, наш RabbitWare надежно зашифровал файлы на вашем устройстве.
С алгоритмом AES-256 вам нужно использовать ключ, который соответствует приведенному выше алгоритму, для дешифрования файла.
Мы сохранили ключ для вашего устройства и других устройств, которые уже использовались нашим RabbitWare.
Ключ для каждого компьютера отличается и вы не сможете найти решение самостоятельно
Чтобы запросить ключ для разблокировки файла, вам нужно перевести биткойны в размере 0,0400 бит (эквивалент 8000 бат), как показано ниже.
1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
Если вы не уверены, сможем ли мы действительно восстановить файл, верно? Вы можете отправить 1 файл (который не является важным файлом) по email ниже. Мы расшифруем 1 файл бесплатно.
При отправке биткойнов, как указано выше, свяжитесь с нами, чтобы получить ключ для разблокировки файла на это письмо.
контакт / email: unlock_rabbit@pm.me
Вы можете купить биткойн на
http://coins.co.th/
https://www.bitkub.com/
https://paxful.com/th
https://localbitcoins.com/

Для сравнения перевод с тайского на английский:




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
อ่านวิธีแก้ไฟล์โดนล๊อค.txt - название файла с требованием выкупа
รูปภาพที่ต้องลบ.exe - исполняемый файл
<random>.exe - случайное название вредоносного файла
 Rabbit Ransomware RabbitWare шифровальщик, шифратор

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
*\random\_bit_generator.cp38-win32.pyd
*\Hash\_ghash_portable.cp38-win32.pyd
C:\Users\User\AppData\Local\Temp\รูปภาพที่ต้องลบ.exe
C:\Users\User\AppData\Local\Temp\_MEI1122\Crypto\Cipher\_Salsa20.cp38-win32.pyd
C:\Users\User\AppData\Local\Temp\_MEI1122\Crypto\Cipher\_chacha20.cp38-win32.pyd

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BFE_Notify_Event_{999f0fb3-742c-4f11-a14c-95190e939e24}
Global\BFE_Notify_Event_{4b5dc46f-18bb-42d6-b9b5-d1236d7966f2}
См. ниже результаты анализов.

Сетевые подключения и связи:
URL с запиской: https://pastebin.com/raw/K9DwMHWa
xxxx://178.62.35.51/vendor/facebook/graph-sdk/src/rabbit/img/img.php
xxxx://178.62.35.51/vendor/facebook/graph-sdk/src/rabbit/post.php
Email: unlock_rabbit@pm.me
BTC: 1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as RabbitWare)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 29 июня 2020 г.

LolKek

LolKek (test) Ransomware

(шифровальщик, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CRYPTO LOCKER. На файле написано: WinLocker.exe

Обнаружения:
DrWeb -> Trojan.Encoder.32057
BitDefender -> Gen:Variant.Razy.652974
Avira (no cloud) -> TR/FileCoder.zcrtn
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCP
Kaspersky -> Trojan-Ransom.Win32.Gen.xlt
Malwarebytes -> Ransom.LolKek
Microsoft -> Trojan:Win32/Ymacco.AABB
Qihoo-360 -> Win32/Trojan.Ransom.887
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Svrf
TrendMicro -> Ransom_Gen.R002C0WFN20
VBA32 -> TrojanRansom.Gen
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Adhubllka? > Lolkek (test) > BitRansomware


LolKek Ransomware шифровальщик, шифратор
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lolkek


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого варианта крипто-вымогателя пришлась на конец июня 2020 г. Штамп времени: 22 июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, является неким промежуточным вариантом между Adhubllka и BitRansomware

Записка с требованием выкупа называется: LOLKEK.txt
Но в записке нет никаких требований выкупа. Похоже на то, что это недоработанный тестовый вариант. 

LolKek Ransomware шифровальщик, шифратор

Содержание записки о выкупе:
LOLSSTTTTTTKEK

Перевод записки на русский язык:
LOLSSTTTTTTKEK



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск.


Список файловых расширений, подвергающихся шифрованию:
Вероятно, шифрует все файлы, т.к. среди зашифрованных есть системные и загрузочные файлы. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WinLocker.exe
LOLKEK.txt - название файла с требованием выкупа
ZFxQrq7MxhhEM2V2.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая для описанного варианта.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CRYPTO LOCKER LolKek - июнь-июль 2020
myCRYPTO LOCKER (BitRansomware) - июль 2020
MCRYPTO LOCKER (BitRansomware) - август 2020
***что-то еще*** - сентябрь 2020
uCRYPTO LOCKER (BitRansomware) - октябрь 2020




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Июль 2020:
Несколько несущественных вариантов без текста выкупа 
Автор продолжает развлекаться и экспериментирует со словами. 


Другие варианты с июля-августа 2020:
Более новые варианты, которые идентифицируются в ID Ransomware под именем LolKek описаны в статье Bit Ransomware.

Эта статья закрыта! 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Lolkek)
 Write-up, Topic of Support
 * 
 Thanks: 
 xiaopao, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Try2Cry

Try2Cry Ransomware

Reha Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Rijndael, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Try2Cry. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.MulDrop13.2566, Trojan.Encoder.32073, Trojan.MulDrop13.2587,  Trojan.MulDrop13.2990
BitDefender -> Trojan.GenericKD.43399186, Gen:Variant.Razy.706822,  Gen:Variant.Ursu.923880, Trojan.GenericKD.34100058
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> BDS/Bladabindi.knzgs, TR/Drop.Agent.owbdf, TR/Ransom.yzetr
ESET-NOD32 -> MSIL/Filecoder.AAS, A Variant Of MSIL/TrojanDropper.Agent.AKH, A Variant Of MSIL/Filecoder.AAS
Malwarebytes -> Ransom.Try2Cry, Ransom.HiddenTear.MSIL
Rising -> Ransom.Agent!8.6B7 (CLOUD), Backdoor.Bladabindi!8.B1F (CLOUD), Trojan.Generic!8.C3 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom.MSIL.TRYTOCRY.AB, Ransom.MSIL.TRYTOCRY.THGOABO,  Ransom.MSIL.TRYTOCRY.THGOABP, Ransom.MSIL.TRYTOCRY.AA
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Stupid >> Try2Cry
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Try2Cry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных и арабоязычных пользователей, что не мешает распространять его по всему миру. Только у некоторых образцов вредоноса были арабские записки с требованием выкупа. 

Записка с требованием выкупа называется по названию зашифрованного файла: <original_filename>.txt





Содержание записки о выкупе:
#################################################
Your File:4e844619b945c400***
#################################################
Are FullY Encrypted,,
Dont Try To Change Name Or Format PC>>All data Will Lose..
Call Me Gomanje@Indea.info
Your Pass Key Is:CmT+Af_fAnb$4ev&+Hp***
#################################################
TrY2CrY

Перевод записки на русский язык:
#################################################
Ваш Файл:4e844619b945c400***
#################################################
Полностью зашифрован,
Не пытайтесь изменить имя или форматировать ПК >> Все данные будут потеряны.
Пиши мне на Gomanje@Indea.info
Ваш пароль-ключ:CmT+Af_fAnb$4ev&+Hp***
#################################################
TrY2CrY

В некоторых вариантах записка, созданная для каждого зашифрованного файла сопровождается эпатажным изображением с надписью REHA RANSOMWARE


---
Арабоязычный вариант отличается от англоязычного не только текстом. 

Содержание записки о выкупе в арабоязычном варианте (файл baseimagefam8.txt):

Перевод записки на русский язык:
Здравствуйте, все ваши данные для этого устройства были зашифрованы ransomware. Для восстановления файлов свяжитесь по email (info@russianvip.io), чтобы получить расшифровку. Не пытайтесь пробовать какую-либо программу или настроить устройство, вы не сможете восстановить файлы никогда, если честно. Вы можете отправить 3 файла размером 5 МБ и меньше на тот же email-адрес, и мы восстановим их для подтверждения возможности. Ваш проверочный номер - dd422a41dc10a74cce62ceff3b 7/19/2020 6:40:33 PM

---
Неким информатором выступает также изображение, найденное в ресурсах. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Для защиты от анализа в распространяемых образцах используется DNGuard. Исследователю удалось обнаружить незащищенные образцы, чтобы изучить этот шифровальщик.


➤ Добавляется в автозагрузку Windows: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\***.exe 
При этом может использовать названия файлов, которые есть в системе, например, explorer.exe

➤ Некоторые исследованные образцы содержат компонент с функционалом червя, чтобы распространяться с помощью съемных накопителей (флешек, внешних дисков и пр.). Например, этот вредоносный образец. Таким образом, файлы на инфицированной флешке будут скрыты, а вместо них будут наблюдаться только "ярлыки". 

 

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .pdf, .ppt, .pptx, .xls, .xlsx 
Это только некоторые документы MS Office, PDF, фотографии.

Исключение из шифрования:
ПК с именами DESKTOP-PQ6NSM4 и IK-PC2
Скорее всего, это названия компьютеров разработчиков вредоносной программы и/или тестеров, которые нужно было защитить

Подробнее о шифровании: 
ссылка на статью >>

Файлы, связанные с этим Ransomware:
EncryptFile.exe
Vhost.exe
Update.exe
presentation.pdf 
presentation.pdf.lnk
<original_filename>.txt - название файла с требованием выкупа
baseimagefam8.txt
4e844619b945c4008163b9cac550bfce_90059c37-1320-41a4-b58d-2b75a9850d2f.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\***.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\***.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\bd112fa6-b3cf-11ea-b783-5254004ec7ee
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: Try2Cry@Indea.info
Email-2: info@russianvip.io
Email-3: Gomanje@Indea.info
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG> TG> TG> TG>
Hybrid analysis >>  HA> HA> HA> HA> HA> HA> HA> HA> HA>
𝚺  VirusTotal analysis >>  VT> VT> VT> VT> VT> VT> VT> VT> VT> 
🐞 Intezer analysis >>  IA> IA> IA> IA> * * * IA>
ᕒ  ANY.RUN analysis >>  AR> AR> AR> AR> 
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Stupid)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn, BleepingComputer
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *