Encrp Ransomware
Encriptar Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50-200 в BTC или больше, чтобы вернуть файлы. Оригинальное название: ведимо Encrp или Encriptar, но в записке не указано. На файле написано: ENCRIPTAR.exe, svcshost.exe или что-то другое. Использует библиотеку Crypto++. Для Windows x64.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32418
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.xdjdc
ESET-NOD32 -> A Variant Of Win64/Filecoder.CB
Kaspersky -> Trojan-Ransom.Win32.Encoder.kjd
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Filecoder.SS!MTB
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Ransom.Agent!1.CD8D (CLASSIC)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11b03dfd
TrendMicro -> Ransom_Filecoder.R002C0DJI20
---
© Генеалогия: ??? >> Encrp
К зашифрованным файлам добавляется расширение: .encrp
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образец этого крипто-вымогателя обнаружен в конце июля 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. В январе 2021 был обнаружен новый образец, добавляющий к зашифрованым файлам другое расширение.
Записка с требованием выкупа называется: __READ_ME_TO_RECOVER_YOUR_FILES.txt
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Rising -> Ransom.Agent!1.CD8D (CLASSIC)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11b03dfd
TrendMicro -> Ransom_Filecoder.R002C0DJI20
---
© Генеалогия: ??? >> Encrp
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .encrp
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя обнаружен в конце июля 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. В январе 2021 был обнаружен новый образец, добавляющий к зашифрованым файлам другое расширение.
Записка с требованием выкупа называется: __READ_ME_TO_RECOVER_YOUR_FILES.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Hello, your files were encrypted and are currently unusable.
The only way to recover your files is decrypting them with a key that only we have.
In order for us to send you the key and the application to decrypt your files, you will have to make a transfer of Bitcoins to an electronic wallet. We leave you here the data to make the bitcoins transfer.
Bitcoin wallet: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP
Transfer the amount of bitcoins equivalent to 200 USD.
Your computer ID is: 8ea56bf1-6a96-41f4-917a-3e9bccdfc93b
Once you make the transfer of bitcoins, send us the transfer ID and your computer ID to our email: nhands_q647t@pudxe.com
When we verify the transfer we will send you your key and the decryption application.
Перевод записки на русский язык:
Привет, ваши файлы зашифрованы и теперь непригодны.
Единственный способ восстановить ваши файлы - это расшифровать их с помощью ключа, который есть только у нас.
Чтобы мы отправили вам ключ и приложение для расшифровки ваших файлов, вам нужно перевести биткойны на электронный кошелек. Мы оставляем вам данные для перевода биткойнов.
Биткойн-кошелек: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP
Переведите сумму в биткойнах, равную 200$ США.
ID вашего компьютера: 8ea56bf1-6a96-41f4-917a-3e9bccdfc93b
После того, как вы переведете биткойны, отправьте нам ID перевода и ID вашего компьютера на наш email: nhands_q647t@pudxe.com
Когда мы подтвердим перевод, мы отправим вам ваш ключ и приложение для расшифровки.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.7z, .aep, .avi, .AVI, .bak, .BAK, .bdf, .BDF, .bin,
.bkf, .BKF, .cc, .cpp, .cxx, .db, .DB, .db3, .DB3, .dbc, .DBC, .dbf, .DBF,
.dbs, .DBS, .ddl, .DDL, .doc, .DOC, .docx, .DOCX, .edb, .EDB, .exe, .EXE, .fmp12,
.FMP12, .frm, .FRM, .h, .hh, .hpp, .htm, .html, .hxx, .iso, .ISO, .itdb, .ITDB,
.jpeg, .JPEG, .jpg, .JPG, .js, .jse, .max, .mdb, .MDB, .MDF, .mdf, .mkv,
.MKV, .mp3, .MP3, .mp4, .MP4, .msi, .MSI, .pdb, .PDB, .pdf, .PDF, .php, .png, .PNG,
.ppt, .PPT, .pptm, .PPTM, .pptx, .PPTX, .psd, .rar, .RAR, .sln, .sql,
.SQL, .sqlite, .SQLITE, .TIB, .tib, .vbs, .vhd, .VHD, .vmdk, .VMDK, .vmsn, .VMSN,
.wave, .WAVE, .wdb, .WDB, .xls, .XLS, .xlsm, .XLSM, .xlsx, .XLSX, .xml, .xsl, .zip,
.ZIP
В коде шифровальщика расширения указаны в нижнем и верхнем регистре букв.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
__READ_ME_TO_RECOVER_YOUR_FILES.txt - название файла с требованием выкупа
ENCRIPTAR.pdb - название файла проекта
ENCRIPTAR.exe, svcshost.exe - название вредоносного файла
ENCRIPTAR.exe, svcshost.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nhands_q647t@pudxe.com
BTC-1: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nhands_q647t@pudxe.com
BTC-1: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP
BTC-2: 3QtbAioBSw249J5xsGd1sCqTqhdDX4CD9L
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Вариант от 6 января 2020:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 15 октября 2020:
Расширение: .encrp
Записка: __READ_ME_TO_RECOVER_YOUR_FILES.txt
Файл проекта: C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb
Файл: svcshost.exe
Штамп даты создания: 22 июля 2020.
Вариант от 6 января 2020:
Расширение: .solaso
Записка: __READ_ME_TO_RECOVER_YOUR_FILES.txt
Email: sammy70p_y61m@buxod.com
BTC: 3QtbAioBSw249J5xsGd1sCqTqhdDX4CD9L
Файл: ENCRIPTAR.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32418
ALYac -> Gen:Heur.Ransom.REntS.Gen.1
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.CB
Kaspersky -> Trojan-Ransom.Win32.Encoder.lbb
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/SolasoCrypt.MK!MTB
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Ransom.Agent!1.CD8D (CLASSIC)
Symantec -> Downloader
Tencent -> Win32.Trojan.Ransom.Szlf
TrendMicro -> lTROJ_GEN.R002H0CA621
=== 2021 ===
Вариант от 29 сентября 2021:
Расширение: .soli
Записка: __READ_ME_PLEASE.txt
Email: sammy70p_y61@buxod.com
C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as Encrp) Write-up, Topic of Support *
Thanks: 0x4143, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
