Blocky

Blocky Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + RSA, а затем требует выкуп в 0.055 BTC, чтобы вернуть файлы. Оригинальное название: Blocky. На файле написано: blocky.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.288C180F
ALYac -> Generic.Ransom.Hiddentear.A.288C180F
Avira (no cloud) -> TR/Ransom.llbnu
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Y
Kaspersky -> HEUR:Trojan.Win32.Generic
McAfee -> Ransomware-FTD!AA18E8176E16
Microsoft -> Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.HiddenTear!1.C60C (CLOUD)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_CRYPTEAR.SM0
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: HiddenTear >> Blocky

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
B L O C K Y
Your personal files have been ecrypted. Visit your home page
PAGE
and recover your files

Перевод записки на русский язык:
B L O C K Y
Ваши личные файлы зашифрованы. Посетите вашу страницу
PAGE
и восстановите ваши файлы



Другим информатором жертвы выступает изображение ransom.bmp, заменяющее обои Рабочего стола.

Содержание текста: 
All your files are encrypted with RSA-2048 and AES-128 cipher
More information about RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
In order to decrypt your files you need to follow these steps
1) buy bitcoins https://cex.io/buy-bitcoins
2) send 0.055 BTC to
32CCbV3wMs4kRo8vZ9GuusgzZh4D5GdkUo
3) Perform a payment
Your personal identification ID: 1!imfj6?e68eGomN(

Перевод текста на русский язык:
Все ваши файлы зашифрованы с шифром RSA-2048 и AES-128
Подробную информацию о RSA и AES можно найти здесь:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Чтобы расшифровать ваши файлы, вам нужно сделать следующие шаги
1) купить биткойны https://cex.io/buy-bitcoins
2) отправить 0.055 BTC на
32CCbV3wMs4kRo8vZ9GuusgzZh4D5GdkUo
3) Выполнить платеж
Ваш личный идентификационный ID: 1!imfj6?e68eGomN(

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
blocky.exe (local.exe) - исполняемый файл
blocky.pdb - оригинальное название проекта
READ_IT.txt - название файла с требованием выкупа
ransom.bmp - изображение, заменяющее обои Рабочего стола
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\blocky.exe
c:\users\novel\source\repos\blocky\blocky\obj\debug\blocky.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BFE_Notify_Event_{69674ace-a73f-42c2-aa38-1430c68f373c}
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://rose-flowers.epizy.com/write.php
Email: - 
BTC: 32CCbV3wMs4kRo8vZ9GuusgzZh4D5GdkUo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.