EduRansom

EduRansom Ransomware

(шифровальщик-НЕ-вымогатель, шифровальщик-обучатель, eduware) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает, что нужно сделать, чтобы вернуть файлы. Оригинальное название: EduRansom (YourRansom education version). На файле написано: myfile.exe и edu edition of YourRansom. Написан на языке Go. 

Обнаружения:
DrWeb -> Trojan.Encoder.32176
BitDefender -> DeepScan:Generic.Ransom.YourRansom.0648804B
Avira (no cloud) -> TR/FileCoder.mpbqd
ESET-NOD32 -> A Variant Of Win32/Filecoder.NKG
Kaspersky -> Trojan-Ransom.Win32.Crypmod.admf
Qihoo-360 -> Win32/Trojan.Ransom.21c
Rising -> Ransom.Crypmod!8.DA9 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11a63bd1
TrendMicro -> Ransom_Crypmod.R002C0WGG20
VBA32 -> Hoax.Gen
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: YourRansom >> EduRansom (YourRansom education version)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .eduransom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в середине июля 2020 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, что был разработан раньше. 

Сообщение от разработчика шифровальщика:
Just smile :) Please download readme file from https://goo.gl/A7lrFT to decrypt your files. 

Перевод на русский язык:
Улыбнись :) Загрузи файл readme с https://goo.gl/A7lrFT для расшифровки файлов.

Записка, которую можно скачать по ссылке выше, называется: readme.doc

Содержание записки от разработчика EduRansom:
欢迎使用YourRansom教育版，为了测试杀软和以实例警示身边的朋友，我在业余时间随手开发了这款小工具。
Welcome to use YourRansom education version, I developed this program in order to test Anti-Virus Softwares and warn friends by real example.
目前您的文件已被全部加密，本程序使用了AES256+RSA512加密你的文件。解密十分简单，您只需自行破解出一个32位AES密钥即可解密您的所有文件。
Now all your files were encrypted, this program used AES256+RSA512 to encrypt your files. It’s really easy to decrypt, you just need to find out a 32bit key of AES.
当然，您也可以在下面的地址下载解密工具。
You can also download a tool to decrypt your files from next address.
https://goo.gl/J2HSk0
我想你还会需要一个使用指南，请在这里下载（手册仅有中文，懒得写双语了）：
I think you will also need a manual of this tool, just download it here:
https://goo.gl/H6G51u
本人电脑上没有关于该版YourRansom的任何文件留存，这是本人最后一次公开发送YourRansom，如果工具和指南地址失效，请自求多福 :)
There will be NOTHING about this version of ransomware on my computer after I published it, that’s also the last time I publish YourRansom. If the Tool or the manual was deleted by host provider, just smile :)

Перевод записки на русский язык:
Добро пожаловать в YourRansom Education Edition. Я разработал этот гаджет в свое свободное время, чтобы тестировать антивирусные программы и использовать примеры, чтобы предупредить моих друзей.
Добро пожаловать в учебную версию YourRansom. Я разработал эту программу для тестирования антивирусных программ и предупреждения друзей на реальном примере.
В настоящее время все ваши файлы были зашифрованы.Эта программа использует AES256+RSA512 для шифрования ваших файлов. Расшифровка очень проста, вам нужно лишь взломать 32-битный ключ AES, чтобы расшифровать все ваши файлы.
Теперь все ваши файлы были зашифрованы, эта программа использует AES256+RSA512 для шифрования ваших файлов. Это действительно легко расшифровать, вам просто нужно найти 32-битный AES-ключ.
Конечно, вы также можете скачать инструмент для расшифровки по адресу ниже.
Вы можете скачать инструмент для расшифровки ваших файлов со следующего адреса.
https://goo.gl/J2HSk0
Я думаю, что вам также понадобится руководство, пожалуйста, скачайте его здесь (руководство только на китайском языке, мне лень писать на двух языках):
Я думаю, вам также понадобится руководство по использованию этого инструмента, просто скачайте его здесь:
https://goo.gl/H6G51u
У меня нет файлов об этой версии YourRansom на моем компьютере. Это последний раз, когда я отправляю YourRansom публично. Если адрес инструмента и руководства неверен, проверьте себя :)
После того, как я опубликовал ее, на моей машине НИЧЕГО не будет, если я выложу YourRansom, и это последняя версия программы-вымогателя. Если инструмент или руководство были удалены хостером, просто улыбнитесь :)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.avi, .css, .doc, .gif, .htm, .jpg, .mov, .mp3, .mp4, .mpg, .pdf, .png, .ppt, .rar, .svg, .txt, .xls, .xml, .zip (19 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.doc - название файла с требованием выкупа
myfile.exe - название вредоносного файла
main.go - оригинальное название go-проекта
YourRansom-keygen.exe
YourRansom.dkey
YourRansom.key
YourRansom.private

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:/GoProj/src/YourRansom/main.go
C:\Users\User\AppData\Local\Temp\YourRansom.dkey
C:\Users\User\AppData\Local\Temp\YourRansom.key

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://ys-j.ys168.com/
---
https://goo.gl/A7lrFT
https://mega.nz/file/cQ8XVAZI#iDO9NrNoG6DIaRHuO_ukoNz0CcbgszuCq2tT42mJV9g
https://goo.gl/J2HSk0
https://mega.nz/file/pE8wkSQR#4WbenXAP2JiBMvZvXGiR-LN4EoP0hxSFA9BG8BOta5M

https://goo.gl/H6G51u
https://mega.nz/file/IQtyXSbS#bGudxfWL1kTuSpl3jltSzVUjCXObs7xPkItpnzn19DM

 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Расшифровка предоставляется разработчиком.
Смотрите ссылки в тексте статьи. 

***

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as YourRansom)
 Write-up, Topic of Support
 * 

 Thanks: 
 xiaopao
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.