Если вы не видите здесь изображений, то используйте VPN.

среда, 22 июля 2020 г.

Encrp, Encriptar

Encrp Ransomware

Encriptar Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50-200 в BTC или больше, чтобы вернуть файлы. Оригинальное название: ведимо Encrp или Encriptar, но в записке не указано. На файле написано: ENCRIPTAR.exe, svcshost.exe или что-то другое. Использует библиотеку Crypto++. Для Windows x64.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32418
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.xdjdc
ESET-NOD32 -> A Variant Of Win64/Filecoder.CB
Kaspersky -> Trojan-Ransom.Win32.Encoder.kjd
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Filecoder.SS!MTB
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Ransom.Agent!1.CD8D (CLASSIC)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11b03dfd
TrendMicro -> Ransom_Filecoder.R002C0DJI20
---

© Генеалогия: ??? >> Encrp

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrp


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя обнаружен в конце июля 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. В январе 2021 был обнаружен новый образец, добавляющий к зашифрованым файлам другое расширение.

Записка с требованием выкупа называется: __READ_ME_TO_RECOVER_YOUR_FILES.txt


Содержание записки о выкупе: 
Hello, your files were encrypted and are currently unusable.
The only way to recover your files is decrypting them with a key that only we have.
In order for us to send you the key and the application to decrypt your files, you will have to make a transfer of Bitcoins to an electronic wallet. We leave you here the data to make the bitcoins transfer.
Bitcoin wallet: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP
Transfer the amount of bitcoins equivalent to 200 USD.
Your computer ID is: 8ea56bf1-6a96-41f4-917a-3e9bccdfc93b
Once you make the transfer of bitcoins, send us the transfer ID and your computer ID to our email: nhands_q647t@pudxe.com
When we verify the transfer we will send you your key and the decryption application.

Перевод записки на русский язык: 
Привет, ваши файлы зашифрованы и теперь непригодны.
Единственный способ восстановить ваши файлы - это расшифровать их с помощью ключа, который есть только у нас.
Чтобы мы отправили вам ключ и приложение для расшифровки ваших файлов, вам нужно перевести биткойны на электронный кошелек. Мы оставляем вам данные для перевода биткойнов.
Биткойн-кошелек: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP
Переведите сумму в биткойнах, равную 200$ США.
ID вашего компьютера: 8ea56bf1-6a96-41f4-917a-3e9bccdfc93b
После того, как вы переведете биткойны, отправьте нам ID перевода и ID вашего компьютера на наш email: nhands_q647t@pudxe.com
Когда мы подтвердим перевод, мы отправим вам ваш ключ и приложение для расшифровки.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.7z, .aep, .avi, .AVI, .bak, .BAK, .bdf, .BDF, .bin, .bkf, .BKF, .cc, .cpp, .cxx, .db, .DB, .db3, .DB3, .dbc, .DBC, .dbf, .DBF, .dbs, .DBS, .ddl, .DDL, .doc, .DOC, .docx, .DOCX, .edb, .EDB, .exe, .EXE, .fmp12, .FMP12, .frm, .FRM, .h, .hh, .hpp, .htm, .html, .hxx, .iso, .ISO, .itdb, .ITDB, .jpeg, .JPEG, .jpg, .JPG, .js, .jse, .max, .mdb, .MDB, .MDF, .mdf, .mkv, .MKV, .mp3, .MP3, .mp4, .MP4, .msi, .MSI, .pdb, .PDB, .pdf, .PDF, .php, .png, .PNG, .ppt, .PPT, .pptm, .PPTM, .pptx, .PPTX, .psd, .rar, .RAR, .sln, .sql, .SQL, .sqlite, .SQLITE, .TIB, .tib, .vbs, .vhd, .VHD, .vmdk, .VMDK, .vmsn, .VMSN, .wave, .WAVE, .wdb, .WDB, .xls, .XLS, .xlsm, .XLSM, .xlsx, .XLSX, .xml, .xsl, .zip, .ZIP 
В коде шифровальщика расширения указаны в нижнем и верхнем регистре букв. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 


Файлы, связанные с этим Ransomware:
__READ_ME_TO_RECOVER_YOUR_FILES.txt - название файла с требованием выкупа
ENCRIPTAR.pdb - название файла проекта
ENCRIPTAR.exe, svcshost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nhands_q647t@pudxe.com
BTC-1: 398sW5eMDvyr93CJHKRD3eYE9vK5ELVrHP
BTC-2: 3QtbAioBSw249J5xsGd1sCqTqhdDX4CD9L
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 октября 2020:
Расширение: .encrp
Записка: __READ_ME_TO_RECOVER_YOUR_FILES.txt
Файл проекта: C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb
Файл: svcshost.exe
Штамп даты создания: 22 июля 2020. 
Результаты анализов: VT + IA + JSB


Вариант от 6 января 2020: 
Расширение: .solaso
Записка: __READ_ME_TO_RECOVER_YOUR_FILES.txt
Email: sammy70p_y61m@buxod.com
BTC: 3QtbAioBSw249J5xsGd1sCqTqhdDX4CD9L
Файл: ENCRIPTAR.exe
Результаты анализов: VT + IA
 

➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32418
ALYac -> Gen:Heur.Ransom.REntS.Gen.1
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.CB
Kaspersky -> Trojan-Ransom.Win32.Encoder.lbb
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/SolasoCrypt.MK!MTB
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Ransom.Agent!1.CD8D (CLASSIC)
Symantec -> Downloader
Tencent -> Win32.Trojan.Ransom.Szlf
TrendMicro -> lTROJ_GEN.R002H0CA621


=== 2021 ===

Вариант от 29 сентября 2021: 
Расширение: .soli
Записка: __READ_ME_PLEASE.txt
Email: sammy70p_y61@buxod.com
C:\Users\MARIO\source\repos\ENCRIPTAR\x64\Release\ENCRIPTAR.pdb






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Encrp)
 Write-up, Topic of Support
 * 
 Thanks: 
 0x4143, Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *