BeijingCrypt Ransomware
BeijingCrypt NextGen Ransomware
Aliases: montana, genesis, 520, 360, LockXXX, fc
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Использует библиотеку Crypto++.
На исполняемых файлах написано: beijing.exe, beijing_en.exe или что-то еще. Устанавливает для зашифрованных файлов атрибут "Read-only" (Только чтение).
---
Обнаружения:
DrWeb -> Trojan.Encoder.29768
BitDefender -> Gen:Variant.Ransom.Hermes.140
Avira (no cloud) -> TR/FileCoder.hiflh
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Kaspersky -> Trojan-Ransom.Win32.Encoder.jqe
Rising -> RRansom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0GGT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: Hermes837 >> BeijingCrypt ⇒ Lockxx?
К зашифрованным файлам добавляется расширение: .beijing
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: !RECOVER.txt
Обнаружения:
DrWeb -> Trojan.Encoder.29768
BitDefender -> Gen:Variant.Ransom.Hermes.140
Avira (no cloud) -> TR/FileCoder.hiflh
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Kaspersky -> Trojan-Ransom.Win32.Encoder.jqe
Rising -> RRansom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0GGT20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: Hermes837 >> BeijingCrypt ⇒ Lockxx?
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .beijing
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: !RECOVER.txt
Содержание записки о выкупе:
ALL YOUR DATA WAS ENCRYPTED
Whats Happen?
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension ***
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant re***
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data ***
In practise - time is much more valuable than money.
What should You include in your message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
Free decryption as quaranteel
Before paying you send us up to 2 files for free decryption.
Send pictures, text files, (files no more than 1mb)
If you upload the database, your price will be doubled
Contacts:
beijing520@aol.com
beijing520@cock.li
Your Personal ID: Jw2ABj+iHmuF4UcS7Zy9MX0p/wnnA8i88Kw1YcViz***
Перевод записки на русский язык:
Все ваши данные были зашифрованы
Что случилось?
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение ***
Кстати, все можно восстановить, но нужно следовать нашим инструкциям. Иначе вы не можете вернуть ***
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды.
Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать.
Это не в наших интересах.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные ***
На практике время гораздо ценнее денег.
Что Вы должны включить в свое сообщение?
1. Ваша страна и город
2. Этот текстовый файл
3. Некоторые файлы для бесплатной расшифровки
Бесплатная расшифровка как карантин
Перед оплатой вы отправляете нам до 2 файла для бесплатной расшифровки.
Отправьте картинки, текстовые файлы (файлы не более 1 Мб)
Если вы загрузите базу данных, ваша цена будет удвоена
Контакты:
beijing520@aol.com
beijing520@cock.li
Ваш личный ID: Jw2ABj+iHmuF4UcS7Zy9MX0p/wnnA8i88Kw1YcViz***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!RECOVER.txt - название файла с требованием выкупа
beijing_en.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: beijing520@aol.com, beijing520@cock.li
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Haka Ransomware - июль 2019
Hermes837 Ransomware - август, сентябрь 2019
BeijingCrypt Ransomware - июль 2020
BeijingCrypt NextGen Ransomware - июль 2020 - 2022
360 Ransomware - февраль 2022 - 2023
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Сообщение от 18 августа 2020 >>
Записка: !RECOVER.txt
Email: beijing520@aol.com, beijing520@cock.li
Результаты анализов: VT + IA
➤ Содержание записки:
Результаты анализов: VT + IA
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Расширение: .montana
Email: montanarecover@aol.com, montanarecover@cock.li
Записка: !HELP!.txt
Hello.
If you are reading this, it means your data is encrypted and your private sensivitive information was stolen!
Read carefully the whole instructions to avoid problems with your data.
You have to contact us immediately to resolve this issue and make a deal!
!!!WARNING!!!
DO NOT modify, rename, copy or move any file. You can DAMAGE them and decryption will be impossible!
DO NOT use any third-party or public decryption software, it also may DAMAGE files.
There is ONLY ONE possible way to get back your files.
Do not waste your time, contact us and pay for special DECRYPTION TOOL. The tool is all you need.
For your guarantee we can decrypt 2 of your text or image files for free, as a proof that it works.
Your network was fully COMPROMISED! We can discuss how to secure it as a bonus.
The data that we gathered could be published in MASS MEDIA for BREAKING NEWS!
If we make a deal everything would be kept in secret and all your data will be restored.
I could make them public them if you decide not to pay.
Contact us immediately:
montanarecover@aol.com
montanarecover@cock.li
Your Personal ID: ***
Расширение: .montana
Записка: !HELP!.txt
Email: montanarecover@mail.ee or montanarecover@cock.li
Расшиение: .genesis
Записка: !HELP!3.txt
Email: genesishelp@mail.ee, genesishelp@cock.li
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.29768
Avira (no cloud) -> TR/FileCoder.hiflh
BitDefender -> Gen:Variant.Ransom.Hermes.140
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Microsoft -> Ransom:Win32/Filecoder.BA!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Wpjl
TrendMicro -> Ransom.Win32.HERMES.SMDS
=== 2021 ===
*** пропущенные варианты ***
Вариант от 6 августа 2021:
Расширение: .file
Записка: !README!.txt
Email: recofile@mail.ee, recofile@mailfence.com
Вариант от 13 октября 2021:
Расширение: .520
Email: 520hard@mail.ee, 520hard@cock.li
=== 2022 ===
Вариант февраля 2022, повторное обнаружение в декабре 2022:
Дополнительное название: Crypt360 Ransomware
Сервис "ID Ransomware" идентифицирует этот вариант как LockXXX, хотя должно быть BeijingCrypt.
Это может быть из-за специального файла: __lock_XXX__
Расширение: .360
Записка: !_INFO.txt
Email: 360recover@gmail.com, 360support@cock.li или другие с "360"
➤ Содержание записки:
WARNING! YOUR FILES ARE ENCRYPTED!
Don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
Do not rename your files. It will damage it.
The only way to decrypt your files safely is to buy the special decryption software from us.
Before paying you can send us up to 2 files for free decryption as guarantee. No database files for test.
Send pictures, text, doc files. (files no more than 1mb)
You can contact us with the following email
360recover@gmail.com
360support@cock.li
Send us this ID or this file in first email
ID: Nwn***
+M=:63e***
Обнаружения:
DrWeb -> Trojan.Encoder.34423
BitDefender -> Trojan.GenericKD.64570983
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Microsoft -> Ransom:Win32/Hermes.MAK!MTB
TrendMicro -> Ransom.Win32.MERHESCRYPT.SMYCCEZ
Вариант апреля 2022:
Сервис "ID Ransomware" идентифицирует этот вариант как LockXXX, хотя должно быть BeijingCrypt.
Это может быть из-за специального файла: __lock_XXX__
Расширение: .fc
Записка: !_INFO.txt
Email: fcsupport@mailfence.com, fcrecover@cock.li
➤ Содержание записки:
WARNING! YOUR FILES ARE ENCRYPTED!
Don’t worry, your files are safe, provided that you are willing to pay the ransom.
Any forced shutdown or attempts to restore your files with the thrid-party software will be damage your files permanently!
The only way to decrypt your files safely is to buy the special decryption software from us.
Before paying you can send us up to 2 files for free decryption as guarantee.
Send pictures, text files. (files no more than 1mb)
You can contact us with the following email
fcsupport@mailfence.com
fcrecover@cock.li
Send us this ID or this file in first email
ID: 07ZuPpd5GiGLcVKAiFW0z85YJ/FYb+5Ceps3***
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as BeijingCrypt, LockXXX) Write-up, Topic of Support *
Thanks: xiaopao, Michael Gillespie, Oracion Andrew Ivanov (author) KDSS Support to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
