Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 августа 2020 г.

DeathOfShadow

DeathShadow Ransomware

Aliases: DeathOfShadow, Death_Shadow, Malakot

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: DeathOfShadow или Death_Shadow. На файле написано: Death_Shadow.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32763
BitDefender -> Gen:Variant.Ursu.933369
Avira (no cloud) -> TR/ATRAPS.Gen
ESET-NOD32 -> A Variant Of MSIL/Agent.TYU
Malwarebytes -> ***
Rising -> Trojan.Agent!8.B1E (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09HB20, Ransom_DeathShadow.R002C0DHH20
---

© Генеалогия: ??? >> DeathOfShadow


DeathOfShadow DeathShadow Ransomware logo
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Death_Of_Shadow

Фактически используется составное расширение: (Malakot@protonmail.com).Death_Of_Shadow


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: (Malakot@protonmail.com).txt
DeathOfShadow DeathShadow  Ransomware note записка

Содержание записки о выкупе:
All Your File Have Been Encrypted!
For Decrypt Your Files Send Msg In Malakot@protonmail.com
Do not close the program or restart the computer,Otherwise the files will not be decrypted!
Do not try to decrypt the files in any way as it will damage the file and make it unopenable!
Do not rename files in any way and do not edit them
If an email is sent within the next 24 hours, the amount received will be doubled
If you do not receive an email within the next 48 hours, your files will not be returned
You can send a file for decrypting that should not contain important formats such as databases or documents and the file size should eventually be 10 MB
Death Of Shadow Encryptor By Malakot!

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Для расшифровки файлов отправьте сообщение на Malakot@protonmail.com
Не закрывайте программу и не перезагружайте компьютер, иначе файлы не будут расшифрованы!
Не пытайтесь каким-либо образом расшифровать файлы, так как это повредит файл и испортит его!
Ни в коем случае не переименовывайте файлы и не редактируйте их
Если email будет отправлено в течение следующих 24 часов, полученная сумма будет удвоена.
Если вы не получите email в течение следующих 48 часов, ваши файлы не будут возвращены.
Вы можете отправить на расшифровку файл, который не должен быть важных форматов, таких как базы данных или документы, а размер файла в конечном итоге должен быть 10 МБ.
Death Of Shadow Encryptor Malakot!


DeathOfShadow DeathShadow Ransomware screen
При запуске демонстрирует экран с надписью и дальше не загружается.  





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Death_Shadow.exe
Death_Shadow.pdb
(Malakot@protonmail.com).txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла


DeathOfShadow DeathShadow Ransomware info

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\Death_Shadow.exe
D:\Source Checker\death shadow\Death_Shadow\Death_Shadow\bin\Debug\Secured\Death_Shadow.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Malakot@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 августа 2020: 
Пост в Твиттере >>
Записка: (malakot@tutanota.com).txt
Email: malakot@tutanota.com, malakot@mailfence.com
➤ Содержание записки: 
All Your File Have Been Encrypted!
For Decrypt Your Files Send Msg In malakot@tutanota.com OR malakot@mailfence.com
Do not close the program or restart the computer,Otherwise the files will not be decrypted!
Do not try to decrypt the files in any way as it will damage the file and make it unopenable!
Do not rename files in any way and do not edit them
If an email is sent within the next 24 hours, the amount received will be doubled
If you do not receive an email within the next 48 hours, your files will not be returned
You can send a file for decrypting that should not contain important formats such as databases or documents and the file size should eventually be 10 MB
Death Of Shadow Encryptor By Malakot!





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as DeathOfShadow)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *