Crypt32

Crypt32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и base64, а затем требует установить "Heroes of the Storm" для расшифровки файлов, без оплаты деньгами. Оригинальное название: в записке не указано. На файле написано: 32Bit.exe, node.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32417
BitDefender -> Trojan.GenericKD.43740128
ALYac -> Trojan.Ransom.RansomHOS
ESET-NOD32 -> JS/Filecoder.N
Kaspersky -> Trojan-Ransom.Win32.Encoder.jxz
Malwarebytes -> Ransom.JScryptor
Rising -> Trojan.Filecoder!8.68 (TOPIS:E0:***
Symantec -> Downloader
Tencent -> Win32.Trojan.Encoder.Wpts
TrendMicro -> TROJ_FRS.VSNTHV20
---

© Генеалогия: NodeJS >> Crypt32

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2020 г. Ориентирован на англоязычных и корейских пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: !! YOUR FILES HAS BEEN ENCRYPTED !!.txt

Содержание записки о выкупе:
Your files has been encrypted by ransomware!
and You can't decrypt with money.
Please install heroes of the storm to decrypt your files.
Attention: DO NOT TURN OFF YOUR PC! IF YOU TURNED OFF YOUR PC, YOU WON'T ABLE TO DECRYPT YOUR FILES!
Emergency contact: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
Warning - Any attmpt of decryption file will delete your private key.
당신의 파일들은 랜섬웨어에 의해 암호화되었습니다.
그리고 돈을 줘도 풀 수 없습니다.
히어로즈 오브 더 스톰을 설치해서 파일들을 복호화하세요.
경고: PC를 끄지 마세요! PC를 끄면 파일을 복원할 수 없습니다!
긴급 연락 이메일: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
경고: 복호화를 시도하면 파일들은 절대 다시 풀 수 없습니다.

Перевод записки на русский язык:
Ваши файлы были зашифрованы программой-вымогателем!
и Вы не можете расшифровать с помощью денег.
Пожалуйста, установите Heroes of the Storm, чтобы расшифровать ваши файлы.
Внимание: НЕ ВЫКЛЮЧАЙТЕ ПК! ЕСЛИ ВЫ ВЫКЛЮЧИТЕ ПК, ВЫ НЕ МОЖЕТЕ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ!
Контактное лицо в экстренных случаях: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
Предупреждение. Любая попытка дешифрования файла приведет к удалению вашего закрытого ключа.
Ваши файлы были зашифрованы программой-вымогателем.
И даже если вы дадите деньги, вы не сможете решить эту проблему.
Установите Heroes of the Storm для расшифровки файлов.
Предупреждение: не выключайте компьютер! Вы не сможете восстановить файлы, выключив компьютер!
Контактный адрес email для экстренных случаев: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
ВНИМАНИЕ: если вы попытаетесь расшифровать файлы, вы больше никогда не сможете их распаковать.

---
Ранее мы уже видели программу, которая вместо выкупа требовала установить "Heroes of the Storm", чтобы расшифровать файлы. Это был RestoLocker Ransomware. 
Как-то странно воздействует эта игра на новоявленных вымогателей. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!! YOUR FILES HAS BEEN ENCRYPTED !!.txt - название файла с требованием выкупа
<different>.js - разные js-файлы
node.exe - исполняемый файл
32Bit.exe - исполняемый файл

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\Desktop\!! YOUR FILES HAS BEEN ENCRYPTED !!.txt
C:\Users\User\AppData\Local\Temp\RarSFX0\node.exe
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb - проект на основе WinRar, который с помощью возможностей SFX отбрасывает js-файл, выполняющий вредоносный сценарий. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Bitmessage: BM-2cT4ifo6SY9QW7gPUJ4EvfeBrJM5jWR4TQ@bitmessage.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Crypt32)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.