Badbeeteam

Badbeeteam Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: vol2-C..Windows.Systema32.svchost.exe. Написан на языке Rust.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32628
BitDefender -> Trojan.GenericKD.43881417
Avira (no cloud) -> TR/AD.RansomHeur.wkswc
ESET-NOD32 -> A Variant Of Win32/Filecoder.ODO
Malwarebytes -> Ransom.FileCryptor
Rising -> Trojan.Generic@ML.84 (RDML:/qKz*
Symantec -> ML.Attribute.HighConfidence, Ransom.Wannacry, Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.BADBEE.THIBDBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ??? >> Badbeeteam

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CRPTD

Визуализация зашифрованного файла: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recover files.hta

 

Скриншот HTA-записки

HTML-код записки

Записка частично похожа на то, что использовалось ранее в вымогательских компаниях GlobeImposter. 

Содержание записки о выкупе:

Your personal ID

4-uP9S0Rmr-X0128C

☣Your files are encrypted!☣

⬇ To decrypt, follow the instructions below.⬇

To recover data you need decrypt tool.

To get the decrypt tool you should:

Send 3 crypted test image or text file or document to badbeeteam@mail.ee

Or alternate mail badbeeteam@cock.li

In the letter include your personal ID (look at the beginning of this document). Send me this ID in your first email to me.

We will give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files.

After we send you instruction how to pay for decrypt tool and after payment you will receive a decrypt tool and instructions how to use it We can decrypt few files in quality the evidence that we have the decoder.

--------------------------------------------------------------------------------

MOST IMPORTANT!!!

Do not contact other services that promise to decrypt your files, this is fraud on their part!

They will buy a decoder from us, and you will pay more for his services.

No one, except badbeeteam@mail.ee (badbeeteam@cock.li), will decrypt your files.

--------------------------------------------------------------------------------

Only badbeeteam@mail.ee (badbeeteam@cock.li) can decrypt your files

Do not trust anyone besides badbeeteam@mail.ee (badbeeteam@cock.li)

Antivirus programs can delete this document and you can not contact us later.

Attempts to self-decrypting files will result in the loss of your data

Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:

Ваш личный ID

4-uP9S0Rmr-X0128C

Ваши файлы зашифрованы!

Чтобы расшифровать, следуйте приведенным ниже инструкциям.

Для восстановления данных вам нужен инструмент дешифрования.

Чтобы получить инструмент дешифрования, вам надо:

Отправить 3 зашифрованных тестовых изображения, текстовых файла или документа на badbeeteam@mail.ee

Или альтернативная почта badbeeteam@cock.li

В письме укажите свой личный ID (см. начало этого документа). Отправьте мне этот ID в своем первом email .

Мы дадим вам бесплатный тест на расшифровку нескольких файлов (НЕ ЗНАЧЕНИЕ) и назначим цену за расшифровку всех файлов.

После того, как мы отправим вам инструкцию, как оплатить инструмент дешифрования, и после оплаты вы получите инструмент дешифрования и инструкции по его использованию. Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.

--------------------------------------------------------------------------------

САМОЕ ВАЖНОЕ!!!

Не связывайтесь с другими сервисами, которые обещают расшифровать ваши файлы, это мошенничество с их стороны!

Они купят у нас декодер, а вы заплатите больше за его услуги.

Никто, кроме badbeeteam@mail.ee (badbeeteam@cock.li), не расшифрует ваши файлы.

--------------------------------------------------------------------------------

Только badbeeteam@mail.ee (badbeeteam@cock.li) может расшифровать ваши файлы

Не доверяйте никому, кроме badbeeteam@mail.ee (badbeeteam@cock.li)

Антивирусные программы могут удалить этот документ и вы не сможете связаться с нами позже.

Попытки самостоятельно расшифровать файлы приведут к потере ваших данных

Декодеры других пользователей несовместимы с вашими данными, потому что у каждого пользователя уникальный ключ шифрования

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Добавляет в Автозагрузку Windows файл записки с требованием выкупа. 

C:\Users\User\AppData\Roaming\Microsoft\Word\STARTUP\Recover files.hta

➤ Отключает процессы, связанные с базами данных, находящиеся в том числе на сетевых ресурсах: 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recover files.hta - название файла с требованием выкупа
vol2-C..Windows.Systema32.svchost.exe - название вредоносного файла

start.bat

start_after.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

%APPDATA%\Microsoft\Visio\start.bat

%APPDATA%\Microsoft\Visio\start_after.bat

Записи реестра, связанные с этим Ransomware:

\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme = "C:\\Users\\Admin\\AppData\\Roaming\\Microsoft\\Visio\\readme.bat"

\REGISTRY\USER\S-1-5-21-2090973689-680783404-4292415065-1000\Software\Microsoft\Windows\CurrentVersion\Run\Readme_c = "C:\\\\readme.bat"

и другие. 

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: badbeeteam@mail.ee, badbeeteam@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>

Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 октября 2020: 

Пост в Твиттере >>

Расширение: .CRPTD

C:\Users\X\IdeaProjects\untitled\target\i686-pc-windows-msvc\release\deps\untitled.pdb

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.