понедельник, 31 августа 2020 г.

XP10, FakeChrome

XP10 Ransomware

FakeChrome Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $980, чтобы вернуть файлы. Оригинальное название: xp10-ransom. На файле написано: chrome.exe. 
---
Обнаружения:
DrWeb -> Trojan.MulDrop13.50455
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Stupid
Avira (no cloud) -> TR/Ransom.cyuwx
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AAT
Kaspersky -> HEUR:Trojan.MSIL.Fsysna.gen
Malwarebytes -> Ransom.FileCryptor
Symantec -> Trojan.Gen.2
Tencent -> Msil.Trojan.Fsysna.Dvzw
TrendMicro -> TROJ_GEN.R002C0WI220
---

© Генеалогия: Stupid >> XP10 (FakeChrome)


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .xp10-ransom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
ATTENTION!
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
xp10.ransom@gmail.com
Your personal ID: ***

Перевод записки на русский язык:
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фото, базы данных, документы и другие важные файлы, зашифрованы с самым надежным шифрованием и уникальным ключом.
Единственный способ восстановить файлы - это приобрести инструмент дешифрования и уникальный ключ для вас.
Эта программа расшифрует все ваши зашифрованные файлы.
Какие гарантии у вас есть?
Вы можете отправить один из зашифрованных файлов со своего ПК и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации.
Стоимость закрытого ключа и программы для дешифрования составляет $980.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа, это цена для вас $490.
Заметьте, что вы никогда не восстановите свои данные без оплаты.
Проверьте папку "Spam" или "Junk" в своей почте, если вы не получаете ответа более 6 часов.
Чтобы получить эту программу, вам надо написать на наш email:
xp10.ransom@gmail.com
Ваш личный ID: ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .accdb, .aepx, .ai, .arw, .asf, .asp, .aspx, .asx, .avi, .bay, .bin, .bmp, .cdr, .cer, .class, .cpp, .cppproj, .cr2, .crt, .crw, .cs, .csproj, .csv, .dat, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .html, .idml, .indb, .indd, .indl, .indt, .info, .ipsw, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mpeg, .pdf, .php, .png, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prproj, .resx, .sldm, .sldx, .sql, .txt, .vb, .vbproj, .wav, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .xml (94 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
chrome.exe
chrome.pdb
xdfjhdlojdziosdvxjoo.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\New folder (2)\Visual Studio 2012\Projects\WindowsApplication4\WindowsApplication4\obj\Debug\chrome.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xp10.ransom@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Скриншоты от Майкла Джиллеспи:

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 30 августа 2020 г.

Z3

Z3 Ransomware

Z3enc Ransomware

(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует (точнее, пытается зашифровать) данные пользователей, чтобы затем потребовать выкуп за расшифровку файлов. Содержит ошибки, из-за которых не удается его вредоносные действия. Вероятно, он еще находится в разработке. Оригинальное название: z3. На файле написано: z3.exe
---
Обнаружения:
DrWeb -> Trojan.MulDrop13.50657
BitDefender -> Trojan.GenericKD.43779174
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ABS
Malwarebytes -> Ransom.FileCryptor
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_FileCrypter.R002C0DI520
---

© Генеалогия: ??? >> Z3
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .z3enc 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа никак не называется. См. скриншот. 

Содержание записки о выкупе:
Oops! Your files have been encrypted!
To decrypt then, you must *bla bla bla*.
If you close this window, all your data will be lost.

Перевод записки на русский язык:
Ой! Ваши файлы зашифрованы!
Чтобы расшифровать, вы должны *бла бла бла*.
Если вы закроете это окно, все ваши данные пропадут.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Завершает работу ПК с помощью команды:

shutdown /f /r /t 0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
z3.exe
z3.pdb
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
<random>.bat
data.bin
wsgjqtyy.1kv.exe
m5u0uccp.na0.bat
bdb77b2f35c0f3e79853ea7f8bdf5b29.in.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\z3\z3\obj\Release\net472\z3.pdb
C:\Users\User\AppData\Local\Temp\m5u0uccp.na0.bat
C:\Users\User\AppData\Local\Temp\bdb77b2f35c0f3e79853ea7f8bdf5b29.in.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Z3)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 27 августа 2020 г.

Geneve

Geneve Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048 (из сообщения вымогателей), а затем требует выкуп в $400-$800 в BTC, чтобы вернуть файлы. Оригинальное название: вероятно, Geneve. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: Nomikon ? > Geneve
Изображение — логотип статьи

К зашифрованным файлам добавляется случайное расширение: .<random>
В одном из примеров: .fezmm


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT.html

Содержание записки о выкупе:
Your files are encrypted    The price will be doubled on August 30, 2020 01:41:45
How to decrypt your files?
You need to buy a decryptor. Decryptor - is a software which we create for each client separately, it contains unique private key to recover client's files.
This is a business for us and we work honestly. If we do not do our work and liabilities - no one will cooperate with us.
Current price: $400 ≈ 0.03466305 BTC
Next price:      $800 ≈ 0.06932609 BTC
How to buy decryptor?
Send us an email to: 
geneve010@protonmail.com
 or 
geneve020@protonmail.com
In subject line of your message write your personal ID: 
8510198-f59e1450-1f33-4214-9352-a8ec0336ebc8-fezmm
Create a Bitcoin Wallet (we recommend blockchain.com)
Buy the necessary amount of Bitcoins. Current amount for buying is 
0.03466305
 BTC
Send amount to the address that you receive when write to us
Download decryptor from the email message
* We guarantee that you can decrypt all your files quickly and safely.
Why should I pay?
Why should I pay if there are free decryptors in the internet? So, we have an answer. There are some programs which storage private key on the client machine and it gives a chance for antivirus companies to find it and recover files. We don't work in this way. Private key storage on our servers and have never been on your machine.
Maybe in-build functionality of Windows "shadow copies" can help you? They could, but we deleted them all.
What about file restore programs? We have cared about it also. There is a cipher utility which populate each sector of your HDD with zero, then with one and then again with zero. It kills chances to restore files from HDD sectors.
What if hack encryption algorithm? We use (AES256 with RSA-2048) algorithm it makes not possible decryption without private key (even NSA can't hack it).
It means there is no chance to restore your files without our software. If you try, you can lose your files and we will not be able to help you.
What guarantees?
To verify the possibility of the recovery of your files we can decrypt one image file for free.
You can send it by email, the size of image should be less then 5mb.

Перевод записки на русский язык:
Ваши файлы зашифрованы    30 августа 2020 г. цена будет удвоена 01:41:45
Как расшифровать ваши файлы?
Вам нужно купить дешифратор. Decryptor - это программа, которую мы создаем для каждого клиента отдельно, она содержит уникальный закрытый ключ для восстановления файлов клиента.
Это наш бизнес, и мы работаем честно. Если мы не будем выполнять свою работу и обязательства - с нами никто не будет сотрудничать.
Текущая цена: $400 ≈ 0,03466305 BTC
Следующая цена: $800 ≈ 0,06932609 BTC
Как купить дешифратор?
Отправьте нам письмо по адресу:
geneve010@protonmail.com
 или
geneve020@protonmail.com
В теме сообщения укажите свой личный идентификатор:
8510198-f59e1450-1f33-4214-9352-a8ec0336ebc8-fezmm
Создайте биткойн-кошелек (мы рекомендуем blockchain.com)
Купите нужное количество биткойнов. Текущая сумма покупки составляет
0,03466305
 BTC
Отправьте сумму на адрес, который вы получите при написании нам
Скачайте дешифратор из email-сообщения
* Мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы.
Зачем мне платить?
Зачем платить, если в интернете есть бесплатные дешифраторы? Итак, у нас есть ответ. Есть несколько программ, которые хранят закрытый ключ на клиентском компьютере, и это дает возможность антивирусным компаниям найти его и восстановить файлы. Мы так не работаем. Хранение приватных ключей на наших серверах, и никогда на вашем компьютере.
Может быть, встроенная функциональность "теневых копий" Windows может вам помочь? Могла, но мы удалили их все.
А как насчет программ восстановления файлов? Мы тоже об этом позаботились. Существует утилита шифрования, которая заполняет каждый сектор вашего жесткого диска нулем, затем единицей, а затем снова нулем. Это убивает шансы на восстановление файлов с секторов HDD.
Что делать, если взломать алгоритм шифрования? Мы используем алгоритм (AES256 с RSA-2048), он делает невозможным дешифрование без закрытого ключа (даже NSA не может его взломать).
Это означает, что без нашей программы невозможно восстановить ваши файлы. Если вы попытаетесь, вы можете потерять свои файлы, и мы не сможем вам помочь.
Какие гарантии?
Чтобы проверить возможность восстановления ваших файлов, мы можем бесплатно расшифровать один файл изображения.
Вы можете отправить его по email, размер изображения не должен превышать 5 МБ.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.html - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: geneve010@protonmail.com
geneve020@protonmail.com
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Geneve)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BizHack

BizHack Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: pidor.bmp.exe
---
Обнаружения:
DrWeb -> Trojan.Mayachok.1
BitDefender -> Trojan.Generic.9226651
ALYac -> Trojan.Ransom.Filecoder
Avast/AVG -> Win32:Sankei
Avira (no cloud) -> TR/Crypt.XPACK.Gen
ESET-NOD32 -> Win32/Kryptik.DNFZ
Kaspersky -> Trojan.Win32.Agentb.jzvw
Malwarebytes -> Trojan.MalPack
McAfee -> W32/NGVCK.g.dr.gen
Microsoft -> Trojan:Win32/Ymacco.AAFB
Qihoo-360 -> Win32/Trojan.c3d
Rising -> Trojan.Ymacco!8.11BE1 (TFE:2:***)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Agentb.Lnel
TrendMicro -> Trojan.Win32.BIZPIDOR.A
VBA32 -> BScope.Trojan.Mayachok
---

© Генеалогия: ??? >> BizHack
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .~Company Name


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце августа 2020 г. По некоторым данным он был заметен и раньше. Штамп даты: 1 мая 2013 г., что может быть фикцией. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа не найдена. 

Для атаки используется вредоносный файл pidor.bmp.exe

Скриншоты из разных систем и видео-файл прилагаются. 



 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pidor.bmp.exe - исполняемый файл
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\james\Desktop\pidor.bmp.exe
C:\Users\User\AppData\Local\Temp\pidor.bmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Ravi, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Crypt32

Crypt32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и base64, а затем требует установить "Heroes of the Storm" для расшифровки файлов, без оплаты деньгами. Оригинальное название: в записке не указано. На файле написано: 32Bit.exe, node.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32417
BitDefender -> Trojan.GenericKD.43740128
ALYac -> Trojan.Ransom.RansomHOS
ESET-NOD32 -> JS/Filecoder.N
Kaspersky -> Trojan-Ransom.Win32.Encoder.jxz
Malwarebytes -> Ransom.JScryptor
Rising -> Trojan.Filecoder!8.68 (TOPIS:E0:***
Symantec -> Downloader
Tencent -> Win32.Trojan.Encoder.Wpts
TrendMicro -> TROJ_FRS.VSNTHV20
---

© Генеалогия: NodeJS >> Crypt32


Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных и корейских пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: !! YOUR FILES HAS BEEN ENCRYPTED !!.txt



Содержание записки о выкупе:
Your files has been encrypted by ransomware!
and You can't decrypt with money.
Please install heroes of the storm to decrypt your files.
Attention: DO NOT TURN OFF YOUR PC! IF YOU TURNED OFF YOUR PC, YOU WON'T ABLE TO DECRYPT YOUR FILES!
Emergency contact: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
Warning - Any attmpt of decryption file will delete your private key.
당신의 파일들은 랜섬웨어에 의해 암호화되었습니다.
그리고 돈을 줘도 풀 수 없습니다.
히어로즈 오브 더 스톰을 설치해서 파일들을 복호화하세요.
경고: PC를 끄지 마세요! PC를 끄면 파일을 복원할 수 없습니다!
긴급 연락 이메일: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
경고: 복호화를 시도하면 파일들은 절대 다시 풀 수 없습니다.

Перевод записки на русский язык:
Ваши файлы были зашифрованы программой-вымогателем!
и Вы не можете расшифровать с помощью денег.
Пожалуйста, установите Heroes of the Storm, чтобы расшифровать ваши файлы.
Внимание: НЕ ВЫКЛЮЧАЙТЕ ПК! ЕСЛИ ВЫ ВЫКЛЮЧИТЕ ПК, ВЫ НЕ МОЖЕТЕ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ!
Контактное лицо в экстренных случаях: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
Предупреждение. Любая попытка дешифрования файла приведет к удалению вашего закрытого ключа.
Ваши файлы были зашифрованы программой-вымогателем.
И даже если вы дадите деньги, вы не сможете решить эту проблему.
Установите Heroes of the Storm для расшифровки файлов.
Предупреждение: не выключайте компьютер! Вы не сможете восстановить файлы, выключив компьютер!
Контактный адрес email для экстренных случаев: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
ВНИМАНИЕ: если вы попытаетесь расшифровать файлы, вы больше никогда не сможете их распаковать.

---
Ранее мы уже видели программу, которая вместо выкупа требовала установить "Heroes of the Storm", чтобы расшифровать файлы. Это был RestoLocker Ransomware
Как-то странно воздействует эта игра на новоявленных вымогателей. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!! YOUR FILES HAS BEEN ENCRYPTED !!.txt - название файла с требованием выкупа
<different>.js - разные js-файлы
node.exe - исполняемый файл
32Bit.exe - исполняемый файл


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\!! YOUR FILES HAS BEEN ENCRYPTED !!.txt
C:\Users\User\AppData\Local\Temp\RarSFX0\node.exe
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb - проект на основе WinRar, который с помощью возможностей SFX отбрасывает js-файл, выполняющий вредоносный сценарий. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Bitmessage: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Crypt32)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *