Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 августа 2020 г.

AESMew

AESMew Ransomware

AESMewLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью "AES File Format", а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---

© Генеалогия: ??? >> AESMewLocker
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locked

Также используется маркер файлов AES....CONTACT_ME.AESMew@pm.me




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
Atention!I do not offer for free the decrypt key's, for that you have to pay 0.05 BITCOIN.
You can get bitcoin very easy on this site: www.localbitcoins.com
You have to create an account and to buy 0.05 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC adress: 1KV34BcBk2SNmpULH16E7oLGup3Pj6ywFD
After that, contact me at this email adress: AESMew@pm.me
With this subject: 178BF-BFF00-XXXXX-XXXXX-XXXX
After the payment you will receive the key's to decrypt your files and a tutorial
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

Перевод записки на русский язык:
ВНИМАНИЕ !!!
Мне очень жаль сообщить вам, что все ваши важные файлы зашифрованы.
Внимание! Я не предлагаю бесплатно ключи дешифрования, за это нужно заплатить 0.05 BITCOIN.
Вы можете легко получить биткойн на этом сайте: www.localbitcoins.com
Вам нужно создать учетную запись и купить 0.05 BITCOIN у продавца, находящегося в вашем городе.
Затем вам необходимо отправить сумму на этот адрес BTC: 1KV34BcBk2SNmpULH16E7oLGup3Pj6ywFD
После этого свяжитесь со мной по этому email-адресу: AESMew@pm.me
Тема письма: 178BF-BFF00-XXXXX-XXXXX-XXXX
После оплаты вы получите ключ для расшифровки ваших файлов и учебник.
Вот еще один список, гды вы можете купить биткойны:
https://bitcoin.org/en/exchanges



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
AESDecrypt.exe - исполняемый файл дешифровщика
AESDecrypt.pdb - файл проекта дешифровщика

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\HAOQING\Documents\D\AESDecrypt\x64\Release\AESDecrypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AESMew@pm.me
BTC: 1KV34BcBk2SNmpULH16E7oLGup3Pj6ywFD
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
𝚺  VirusTotal analysis на файл AESDecrypt.exe >>
🐞 Intezer analysis >>
🐞 Intezer analysis на файл AESDecrypt.exe >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as AESMew)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *