Если вы не видите здесь изображений, то используйте VPN.

среда, 23 сентября 2020 г.

Dusk

Dusk Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Dusk. На файле написано: Dusk.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32629
BitDefender -> DeepScan:Generic.Ransom.Small.0597F46B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.MSIL.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.FileCryptor.MSIL
Rising -> ***
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Encoder.Eann
TrendMicro -> TROJ_GEN.R002C0OIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ✂️ KesLan >> Dusk
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Dusk

Визуализация зашифрованного файла: 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#!READ-ME!#!.txt

 

Содержание записки о выкупе:
---
DUSK
---
Dusk v1.0
YOUR FILES ARE ENCRYPTED!
---
If you want to recover them follow these steps:
1. Send $50 to this address:
BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo
2. Send email to:
cyber.duskfly&protonmail.com
3. Enjoy!
Do not waste your time trying recover your files using third party services! Only we can do that

Перевод записки на русский язык:
---
DUSK
---
Dusk v1.0
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
---
Если вы хотите вернуть их, выполните эти шаги:
1. Отправьте $50 на этот адрес:
BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo
2. Пришлите email на:
cyber.duskfly&protonmail.com
3. Радуйтесь!
Не тратьте свое время на восстановление файлов с помощью чужих сервисов! Только мы можем это сделать




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#!READ-ME!#!.txt - название файла с требованием выкупа
Dusk.exe - название вредоносного файла
Dusk.pdb - оригинальное  название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Engineer\source\repos\Dusk\Dusk\obj\Release\Dusk.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cyber.duskfly@protonmail.com
BTC: 1EiGoumJiBNJszEzTzasmQhCVaEYDDEbuo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Ошибки:


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Dusk Ransomware - сентябрь 2020
Dusk 2 Ransomware - ноябряь 2020


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 ноября 2020:
Расширение: .DUSK 
Записка: README.txt
Email: lasvegasincel@cocl.li, duskeer@protonmail.com
Результаты анализов: VT + IA
➤ Содержание записки: 
------------------------------------------  
DUSK
2
------------------------------------------
All your files have been encrypted using military grade encryption algorithms!
They cannot be decrypted without our securely generated key.
The only thing you can do now is buy your key and decryptor.
The price is 80 USD.
The only payment method we accept is BitCoin.
<<<<How to obtain Bitcoins?>>>>
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
<<<<How to contact you for the payment?>>>>
We use E-Mail to contact with our customers. 
When contacting us please send your personal ID that can be seen at the end of the message.
Our main e-mail is: 
lasvegasincel@cock.li
Our backup e-mail is:
duskeer@protonmail.com
NOTE:
Write to our backup e-mail only when you don't receive reply from our main e-mail in 48 hours.
<<<<Why do we do that?>>>>
We Are anonymous good people. We will transfer 75% of what we earn for good purposes.
<<<<If you're so evil>>>>
If you're evil and don't trust us you can send up to 2 files for free decryption. They can't weigh more than 2 MB (non-archived).
<<<<Attention!>>>>
Do not try to restore files without our help, this is useless and you may lose data permanetly
Do not rename encrypted files!
Do not use third party "decryptors"
Do not try to remove our heavenly software using evil AntiVirus or AntiMalware software
<<<<Personal ID>>>>
SgQUfK3wjAGJLsIfq4p0wvO2E3gig5q [всего 684 знаков]





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, GrujaRS
 Andrew Ivanov (author)
 Lukáš Zobal
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *