Rabbit, RabbitWare

Rabbit Ransomware

Aliases: RabbitWare, Taiwan Rabbit

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0400 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: รูปภาพที่ต้องลบ.exe. Написан на языке Python. 

Обнаружения:
DrWeb -> Python.Encoder.16, Python.Encoder.17
BitDefender -> Trojan.GenericKD.43446763
ALYac -> Trojan.Ransom.Python
Avira (no cloud) -> TR/Ransom.qhubx
ESET-NOD32 -> Python/Filecoder.CL
Kaspersky -> Trojan-Spy.Win32.Stealer.syk
Malwarebytes -> Ransom.FileLocker.Python
Microsoft -> Trojan:Win32/Ymacco.AA12
Rising -> Trojan.Generic@ML.89 (RDML:*)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.RABBIT.THGOABO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: предыдущие Python ransomware Ⓟ >> Rabbit Ransomware (RabbitWare)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .RABBIT


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден к конце июня 2020 г. Штамп даты: 5 января 2020 г. Ориентирован на тайскоязычных и тайваньских пользователей, что не мешает распространять его по всему миру.

Записка с со ссылкой на онлайн-сообщение называется: อ่านวิธีแก้ไฟล์โดนล๊อค.txt

Он содержит краткий тест и изображение кролика:
How to fix .RABBIT lock read >>  https://pastebin.com/raw/K9DwMHWa

Сообщение по ссылке отражено на следующем скриншоте:

 

Первое открыто в Блокноте, а второе в браузере Google Chrome. 

При переходе по ссылке в браузере открывается следующее сообщение:

Содержание онлайн-записки с требованием выкупа:

                  ...                          
                  `.`   .-            ..`..       
                 -`      .`          -`   `.`     
                -         -         -`      -`    
               -         `.        -         :    
              .          :        ..         -    
              -         .`       `/         `.    
             -          -        +`         -     
             -         :`        /        `-      
             -        --        -`       `-       
            -`       `/```````  :       ..        
            : `---..`-.`````````.....  -.         
           ./-`                     `-:.          
         -:`      .`-`      . `       -.          
        :`         -`.     `.-`-       -          
       -`          o        +`         `-         
      .-          :+       :/          `/         
      :           .   ``   :           :-         
      :            `  +o-              s`         
      -`           /`:o:  :`           :          
       .`           +:-o..`          `-`          
        `..          --`           .-`            
           ..`.`           ````.---`              
               `..`.....``..``.                   
                                              
สวัสดีค่ะ,
เครื่องของคุณโดนไวรัสกระต่ายน้อย Rabbit Ransomware!
ระหว่างที่คุณกำลังอ่านข้อความนี้อยู่ RabbitWare ของเราได้ทำการเข้ารหัสไฟล์ในเครื่องของคุณอย่างแน่นหนา
ด้วย algorithm AES-256 ซึ่งคุณจำเป็นต้องใช้ Key ที่ตรงกับ algorithm ข้างต้นในการถอดรหัสไฟล์
เราได้เก็บ Key เฉพาะเครื่องของคุณและเครื่องอื่นๆที่ถูก RabbitWare ของเราเอาไว้แล้ว 
ซึ่งแต่ละเครื่อง Key จะไม่เหมือนกัน และจะไม่สามารถหาทางแก้เองได้ค่ะ
ในการขอ Key ปลดล๊อคไฟล์ คุณต้องโอนเป็นจำนวน 0.0400 btc (เทียบเท่า 8,000 บาท) เป็น Bitcoin มาตามที่อยู่ด้านล่าง
1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
หากคุณไม่แน่ใจว่าเราสามารถกู้ไฟล์ได้จริงมั้ย ? สามารถส่ง 1 ไฟล์ (ซึ่งต้องไม่ใช่ไฟล์สำคัญ) มาที่ email ด้านล่าง เราจะถอดรหัสไฟล์ให้ฟรี 1 ไฟล์ค่ะ
เมื่อส่ง Bitcoin ตามจำนวนที่ว่าแล้วให้ติดต่อขอรับ Key ปลดล๊อคไฟล์ได้ที่เมลนี้เลย
contact / ติดต่อ ส่งอีเมล์มาที่ : unlock_rabbit@pm.me 
สามารถหาซื้อ Bitcoin ได้ที่
http://coins.co.th/
https://www.bitkub.com/
https://paxful.com/th
https://localbitcoins.com/

Перевод онлайн-записки на русский язык:
Привет,
Ваше устройство заражено Rabbit Ransomware!
Пока вы читаете это, наш RabbitWare надежно зашифровал файлы на вашем устройстве.
С алгоритмом AES-256 вам нужно использовать ключ, который соответствует приведенному выше алгоритму, для дешифрования файла.
Мы сохранили ключ для вашего устройства и других устройств, которые уже использовались нашим RabbitWare.
Ключ для каждого компьютера отличается и вы не сможете найти решение самостоятельно
Чтобы запросить ключ для разблокировки файла, вам нужно перевести биткойны в размере 0,0400 бит (эквивалент 8000 бат), как показано ниже.
1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
Если вы не уверены, сможем ли мы действительно восстановить файл, верно? Вы можете отправить 1 файл (который не является важным файлом) по email ниже. Мы расшифруем 1 файл бесплатно.
При отправке биткойнов, как указано выше, свяжитесь с нами, чтобы получить ключ для разблокировки файла на это письмо.
контакт / email: unlock_rabbit@pm.me
Вы можете купить биткойн на
http://coins.co.th/
https://www.bitkub.com/
https://paxful.com/th
https://localbitcoins.com/

Для сравнения перевод с тайского на английский:

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
อ่านวิธีแก้ไฟล์โดนล๊อค.txt - название файла с требованием выкупа
รูปภาพที่ต้องลบ.exe - исполняемый файл
<random>.exe - случайное название вредоносного файла

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
*\random\_bit_generator.cp38-win32.pyd
*\Hash\_ghash_portable.cp38-win32.pyd
C:\Users\User\AppData\Local\Temp\รูปภาพที่ต้องลบ.exe
C:\Users\User\AppData\Local\Temp\_MEI1122\Crypto\Cipher\_Salsa20.cp38-win32.pyd
C:\Users\User\AppData\Local\Temp\_MEI1122\Crypto\Cipher\_chacha20.cp38-win32.pyd

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BFE_Notify_Event_{999f0fb3-742c-4f11-a14c-95190e939e24}
Global\BFE_Notify_Event_{4b5dc46f-18bb-42d6-b9b5-d1236d7966f2}
См. ниже результаты анализов.

Сетевые подключения и связи:
URL с запиской: https://pastebin.com/raw/K9DwMHWa
xxxx://178.62.35.51/vendor/facebook/graph-sdk/src/rabbit/img/img.php
xxxx://178.62.35.51/vendor/facebook/graph-sdk/src/rabbit/post.php
Email: unlock_rabbit@pm.me
BTC: 1A3gVjAwot4PHXXEy22LpfsEhTYMSW5hQ1
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as RabbitWare)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.