Hansom

Hansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.DownLoader34.50536
BitDefender -> Trojan.GenericKD.34670003
ALYac -> Trojan.Agent.4081152A
Avira (no cloud) -> BDS/Androm.avuvt
ESET-NOD32 -> Win64/Filecoder.Hansom
Malwarebytes -> ***
Rising -> ***
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R011C0WJ520

© Генеалогия: ??? >> Hansom

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hansom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HANSOM_README.txt

Содержание записки о выкупе:

======================

What happened to My Computer?

======================

Your important files are encrypted.

Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.

Maybe you are busy looking for a way to recover your files, but do not waste your time.

Nobody can recover your files without my decryption service.

Do not attempt to decrypt the data yourself, you might corrupt your files.

Don't Delete Encrypted Files.

Don't Modify Encrypted Files.

Don't Rename Encrypted Files.

======================

Can I Recover My Files?

======================

Sure. I guarantee that you can recover all your files safely and easily.

If you want to decrypt all of your files, you need to pay.

Hurry up! You only have 1 day(24 hours) of payment. After the deadline the price will be doubled.

If you do NOT pay in 3 days, you lose the chance to recover your files FOREVER.

======================

How Do I Pay?

======================

Payment is accepted in Bitcoin only.

The price of your valuable data will be determined as a result of the negotiation between you and me.

After negotiation, please buy that amount of bitcoin, and send it to my address below.

Please buy that amount of bitcoin, and send it to my address below.

For more informations, please google "How to buy bitcoin".

My bitcoin wallet address is

--------------------------------------

bc1q3tdfzfjngzdlup7x50x3tkfs2mx90a85en9z74

--------------------------------------

WARNING: Please check my bitcoin address carefully, even if you type one incorrect character, I can not receive your payment.

After you send the bitcoin to my adress, you must send email with your bitcoin wallet address and your ransom id.

Your ransom ID is

***

And my email addresses are below.

--------------------------------------

keepcredit015@protonmail.com

honestman0023@protonmail.com

--------------------------------------

WARNING: If all of my email addresses are blocked by cyber security teams, you will never be able to contact with me forever.

Перевод записки на русский язык:

======================

Что случилось с моим компьютером?

======================

Ваши важные файлы зашифрованы.

Многие из ваших документов, фото, видео, баз данных и других файлов теперь недоступны, т.к. они зашифрованы.

Возможно, вы ищете способ восстановить свои файлы, но не теряйте зря время.

Никто не сможет восстановить ваши файлы без моей службы дешифрования.

Не пытайтесь расшифровать данные сами, вы можете повредить свои файлы.

Не удаляйте зашифрованные файлы.

Не изменяйте зашифрованные файлы.

Не переименовывайте зашифрованные файлы.

======================

Могу ли я восстановить свои файлы?

======================

Конечно. Я гарантирую, что вы сможете легко и безопасно восстановить все свои файлы.

Если вы хотите расшифровать все свои файлы, вам нужно заплатить.

Поторопись! У вас есть только 1 день (24 часа) оплаты. По истечении указанного срока цена будет увеличена вдвое.

Если вы НЕ заплатите в течение 3 дней, вы потеряете шанс восстановить файлы НАВСЕГДА.

======================

Как мне платить?

======================

Оплата принимается только в биткойнах.

Цена ваших ценных данных будет определена в результате переговоров между вами и мной.

После переговоров, пожалуйста, купите это количество биткойнов и отправьте их на мой адрес, указанный ниже.

Пожалуйста, купите это количество биткойнов и отправьте их на мой адрес, указанный ниже.

Для получения информации, пожалуйста, гуглите "Как купить биткойн".

Адрес моего биткойн-кошелька

--------------------------------------

bc1q3tdfzfjngzdlup7x50x3tkfs2mx90a85en9z74

--------------------------------------

ВНИМАНИЕ: внимательно проверьте мой биткойн-адрес, если вы введете неверный символ, я не смогу получить ваш платеж.

После того, как вы отправите биткойн на мой адрес, вы должны отправить email со своим адресом биткойн-кошелька и id выкупа.

Ваш ID выкупа

***

И мои адреса email ниже.

--------------------------------------

keepcredit015@protonmail.com

fairman0023@protonmail.com

--------------------------------------

ВНИМАНИЕ! Если все мои адреса email будут заблокированы группами кибербезопасности, вы никогда не сможете связаться со мной.

Другим информатором выступает изображение hansom.jpg, заменяющее обои Рабочего стола. 

На втором скриншоте есть открытое окно Hansom Decryptor.exe

Если запустить файл Hansom Decryptor.exe, то он подскажет, как восстановить файлы с использованием приобретенного закрытого ключа.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует оффлайн-шифрование. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .ace, .ai, .alz, .apk, .arc, .arj, .asm, .asp, .aspx, .au3, .bak, .bat, .bmp, .bz2, .bzip2, .c, .cad, .cer, .chm, .cka, .cmd, .conf, .config, .cpp, .crt, .cs, .csr, .css, .csv, .dat, .db, .dbf, .der, .dll, .doc, .docx, .dwg, .eml, .eps, .epub, .exe, .fla, .frm, .gif, .gz, .h, .hst, .htm, .html, .hwp, .hwpml, .inf, .ini, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .ldf, .log, .lz, .m, .max, .mdb, .mdf, .msi, .myd, .myi, .ocx, .ods, .odt, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pl, .png, .ppm, .pps, .ppt, .pptx, .psd, .py, .rar, .reg, .rtf, .sdf, .show, .sql, .sqlite3, .tar, .tgz, .tiff, .txt, .vbs, .war, .xbm, .xls, .xlsx, .xml, .xz, .zip (110 типов файлов). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HANSOM_README.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

hansom.jpg - изображение, заменяющее обои Рабочего стола

Hansom Decryptor.exe

Private.hansomkey

Public.hansomkey

StSess.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Public\Pictures\hansom.jpg

C:\Users\User\AppData\Local\Private.hansomkey

C:\Users\User\AppData\Local\Public.hansomkey

C:\Users\User\AppData\Roaming\StSess.exe

C:\Users\User\Desktop\Hansom_Sample

C:\Users\User\Desktop\Hansom Decryptor.exe

C:\Users\User\Desktop\Private.hansomkey

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: keepcredit015@protonmail.com

honestman0023@protonmail.com

BTC: bc1q3tdfzfjngzdlup7x50x3tkfs2mx90a85en9z74
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 ноября 2020:

Статья от Cisco Talos >>

Cisco Talos обнаружила новую версию семейства троянских программ удаленного доступа (RAT), известную как CRAT.

RAT состоит из нескольких методов обфускации, чтобы скрыть строки, имена API, URL-адреса команд и управления (C2) и инструментальные функции, а также уклонение от статического обнаружения.

Атака также использует множество антиинфекционных проверок для обхода систем обнаружения на основе песочницы.

Кроме встроенного станартного для RAT функционала, может загружать и развертывать дополнительные вредоносные плагины на зараженной конечной точке.

Один из таких плагинов — программа-вымогатель, известная как Hansom.

В статье есть образцы вредоносного ПО и его модулей. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Hansom)
 Write-up, Topic of Support
 Added later: Write-up by Cisco Talos >> 

Video demo of the attack

 Thanks: 
 Michael Gillespie, CheckMAL
 Andrew Ivanov (author)
 Cisco Talos
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Ensiko

Ensiko Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель является компонентом многофункционального ПО Ensiko и может шифровать данные сайтов и серверов с помощью Rijndael-128 в режиме CBC, а затем, как и обычный Ransomware требовать выкуп в # BTC, чтобы вернуть файлы. Предположительно распространяется из Индонезии или одной из сопредельных стран. 

© Генеалогия: Ensiko Malware >> Ensiko Ransomware

Изображение — логотип статьи

Ensiko - это главным образом PHP-веб-оболочка с программой-вымогателем внутри, предназначенная для различных платформ, таких как Linux, Windows, macOS или любой другой платформы, на которой установлен PHP. Вредоносное ПО имеет возможность удаленно управлять системой и принимать и выполнять команды для выполнения вредоносных действий на зараженной машине, отправлять результаты злоумышленнику, сканировать серверы на наличие других веб-оболочек, портить веб-сайты, отправлять массовые электронные письма, загружать удаленные файлы, раскрывать информацию о затронутом сервере, атаковать грубой силой протокол передачи файлов (FTP), cPanel и Telnet, перезаписывать файлы с заданными расширениями и пр.пр.

Список функций и описание:
Priv Index: Download ensikology.php from pastebin
Ransomeware: Encrypt files using RIJNDAEL 128 with CBC mode
CGI Telnet: Download CGI-telnet version 1.3 from pastebin; CGI-Telnet is a CGI script that allows you to execute commands on your web server.
Reverse Shell: PHP Reverse shell
Mini Shell 2: Drop Mini Shell 2 webshell payload in ./tools_ensikology/
IndoXploit: Drop IndoXploit webshell payload in ./tools_ensikology/
Sound Cloud: Display sound cloud
Realtime DDOS Map: Fortinet DDoS map
Encode/Decode: Encode/decode string buffer
Safe Mode Fucker: Disable PHP Safe Mode
Dir Listing Forbidden: Turn off directory indexes
Mass Mailer: Mail Bombing
cPanel Crack: Brute-force cPanel, ftp, and telnet
Backdoor Scan: Check remote server for existing web shell
Exploit Details: Display system information and versioning
Remote Server Scan: Check remote server for existing web shell
Remote File Downloader: Download file from remote server via CURL or wget
Hex Encode/Decode: Hex Encode/Decode
FTP Anonymous Access Scaner: Search for Anonymous FTP
Mass Deface: Defacement
Config Grabber: Grab system configuration such as “/etc/passwd”
SymLink: link
Cookie Hijack: Session hijacking
Secure Shell: SSH Shell
Mass Overwrite: Rewrite or append data to the specified file type.
FTP Manager: FTP Manager
Check Steganologer: Detects images with EXIF header
Adminer: Download Adminer PHP database management into the ./tools_ensikology/
PHP Info: Information about PHP’s configuration
Byksw Translate: Character replacement
Suicide: Self-delete

Вредоносная программа может быть защищена паролем. Для аутентификации вредоносная программа отображает страницу "Not Found" со скрытой формой входа, как показано на следующих скриншотах.

Страница "Not Found" скрытая форма входа

PHP-код для аутентификации по паролю

Пароль для этого образца - RaBiitch, а на следующем рисунке показан перехваченный сетевой трафик для запроса аутентификации на панели веб-оболочки. 

Перехваченный сетевой трафик

К зашифрованным файлам добавляется расширение: .bak

 

Код, показывающий поведение при шифровании

Код шифрования и дешифрования

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Анализ этого крипто-вымогателя был представлен специалиcтами из TrendMicro во второй половине июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

➤ Кроме того, Ensiko Ransomware удаляет файл index.php и устанавливает его в качестве страницы по умолчанию, используя файл .htaccess; злоумышленник также получает уведомление об этом действии по email. Следующий фрагмент кода демонстрирует это поведение.

Фрагмент кода для оставленной страницы .htaccess

Уведомление, которое появляется при обращении к index.php

Внешний вид страницы index.php

Так выглядит закодированный index.php

 Так выглядит декодированный index.php

Чтобы выполнять больше задач в зараженной системе, вредонос может загрузить в зараженную систему различные дополнительные инструменты. Большинство из них загружаются из Pastebin. Вредонос создает каталог tools_ensikology для хранения этих инструментов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://www.mmbuilders.org/ - сайт BlackHell Team - RaBiitch
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Aliakbar Zahravi (TrendMicro)
 Ionut Ilascu (Bleeping Computer)
 Andrew Ivanov (author)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WyvernLocker

WyvernLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: WyvernLocker. На файле написано: wyvernlocker.exe

Обнаружения:
DrWeb -> Trojan.Encoder.32195
BitDefender -> Gen:Heur.Ransom.Imps.1
Avira (no cloud) -> TR/FileCoder.umvcz, TR/FileCoder.byoox
ESET-NOD32 -> Win32/Filecoder.OCV, A Variant Of Win32/Filecoder.OCV
Malwarebytes -> Ransom.Wyvern
Rising -> Trojan.Ymacco!8.11BE1 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09GO20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> WyvernLocker

Изображение — логотип статьи (дракон Wyvern)

К зашифрованным файлам добавляется расширение: .xienvkdoc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя найден во второй половине июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: _READ_ME_.txt


Содержание записки о выкупе:
***

Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wyvernlocker.pdb - оригинальное название проекта
wyvernlocker.exe - исполняемый файл вымогателя
_READ_ME_.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Godbuntu\source\repos\wyvernlocker\Release\wyvernlocker.pdb
C:\Users\User\AppData\Local\Temp\wyvernlocker.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>  HA>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Dcry, Paypalfree

Dcry Ransomware

Paypalfree Ransomware 

(шифровальщик-вымогатель для Android) (первоисточник)

Translation into English

Этот крипто-вымогатель для Android-устройств шифрует данные пользователей с помощью SHA1 + AES-128, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Paypalfree.apk. Файлы можно расшифровать! 

---
Обнаружения:
DrWeb -> Android.Encoder.11.origin
Avira (no cloud) -> ANDROID/Agent.FGMH.Gen
ESET-NOD32 -> A Variant Of Android/Agent.BIO
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.Agent.br
Malwarebytes ->
Microsoft -> Ransom:AndroidOS/XdropCryp.A!MTB
Symantec -> Trojan.Gen.MBT
---

© Генеалогия: Удобная ниша (CNAM) >> Dcry, Paypalfree

CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств. 

Я придумал этот термин, чтобы в культурной форме назвать это злачное место. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Dcry
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе: 

hii. bitch i am your friend. your all photos and files are Encrypted (Locked) and your will find your username below.

email us here with your username tuvieja@yopmail.com and get you private key and decrypt your files under 2 min so you have 24 hour to get key your key will automatically deleted from our server and you files are will also automatically deleted and cant be recover for forever...

Have a nice day!!!

Перевод записки на русский язык: 

привет. сука я твой друг. все твои фото и файлы зашифрованы (блокированы), и ты найдешь свое имя пользователя ниже.

email наш с твоим именем пользователя tuvieja@yopmail.com, получи закрытый ключ и расшифруй файлы менее чем за 2 минуты, у тебя есть 24 часа, чтобы получить ключ, твой ключ будет автоматически удален с нашего сервера, и твои файлы также автоматически будут удалены и не вернутся никогда ...

Хорошего дня!!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы можно расшифровать. Пароль хранится в настройках. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
Paypalfree.apk - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Скриншоты от исследователей:

Файлы зашифрованы со случайным образом сгенерированной строкой (длиной 32). Пароль хранится в общих настройках.

Сетевые подключения и связи:

URL: arefy.net/addslave.php

Email: tuvieja@yopmail.com

alt.ya-2oxswvd@yopmail.com

BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать! 
Пароль хранится в настройках. 
***

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Mitesh Wani
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.