DeathShadow Ransomware
Aliases: DeathOfShadow, Death_Shadow, Malakot
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: DeathOfShadow или Death_Shadow. На файле написано: Death_Shadow.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32763
BitDefender -> Gen:Variant.Ursu.933369
Avira (no cloud) -> TR/ATRAPS.Gen
ESET-NOD32 -> A Variant Of MSIL/Agent.TYU
Malwarebytes -> ***
Rising -> Trojan.Agent!8.B1E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09HB20, Ransom_DeathShadow.R002C0DHH20
---
© Генеалогия: ??? >> DeathOfShadow
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Death_Of_Shadow
Фактически используется составное расширение: (Malakot@protonmail.com).Death_Of_Shadow
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: (Malakot@protonmail.com).txt
Содержание записки о выкупе:
All Your File Have Been Encrypted!
For Decrypt Your Files Send Msg In Malakot@protonmail.com
Do not close the program or restart the computer,Otherwise the files will not be decrypted!
Do not try to decrypt the files in any way as it will damage the file and make it unopenable!
Do not rename files in any way and do not edit them
If an email is sent within the next 24 hours, the amount received will be doubled
If you do not receive an email within the next 48 hours, your files will not be returned
You can send a file for decrypting that should not contain important formats such as databases or documents and the file size should eventually be 10 MB
Death Of Shadow Encryptor By Malakot!
Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Для расшифровки файлов отправьте сообщение на Malakot@protonmail.com
Не закрывайте программу и не перезагружайте компьютер, иначе файлы не будут расшифрованы!
Не пытайтесь каким-либо образом расшифровать файлы, так как это повредит файл и испортит его!
Ни в коем случае не переименовывайте файлы и не редактируйте их
Если email будет отправлено в течение следующих 24 часов, полученная сумма будет удвоена.
Если вы не получите email в течение следующих 48 часов, ваши файлы не будут возвращены.
Вы можете отправить на расшифровку файл, который не должен быть важных форматов, таких как базы данных или документы, а размер файла в конечном итоге должен быть 10 МБ.
Death Of Shadow Encryptor Malakot!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Death_Shadow.exe
Death_Shadow.pdb
(Malakot@protonmail.com).txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\Death_Shadow.exe
D:\Source Checker\death shadow\Death_Shadow\Death_Shadow\bin\Debug\Secured\Death_Shadow.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Malakot@protonmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 22 августа 2020:
Пост в Твиттере >>
Записка: (malakot@tutanota.com).txt
Email: malakot@tutanota.com, malakot@mailfence.com
All Your File Have Been Encrypted!
For Decrypt Your Files Send Msg In malakot@tutanota.com OR malakot@mailfence.com
Do not close the program or restart the computer,Otherwise the files will not be decrypted!
Do not try to decrypt the files in any way as it will damage the file and make it unopenable!
Do not rename files in any way and do not edit them
If an email is sent within the next 24 hours, the amount received will be doubled
If you do not receive an email within the next 48 hours, your files will not be returned
You can send a file for decrypting that should not contain important formats such as databases or documents and the file size should eventually be 10 MB
Death Of Shadow Encryptor By Malakot!
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as DeathOfShadow) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author) Michael Gillespie *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
