Dusk Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Dusk. На файле написано: Dusk.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32629
BitDefender -> DeepScan:Generic.Ransom.Small.0597F46B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.MSIL.Gen
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.FileCryptor.MSIL
Rising -> ***
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan.Encoder.Eann
TrendMicro -> TROJ_GEN.R002C0OIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ✂️ KesLan >> Dusk
К зашифрованным файлам добавляется расширение: .Dusk
Визуализация зашифрованного файла:
TrendMicro -> TROJ_GEN.R002C0OIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ✂️ KesLan >> Dusk
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Dusk
Визуализация зашифрованного файла:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец сентября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: !#!READ-ME!#!.txt
Содержание записки о выкупе:
---
DUSK
---
Dusk v1.0
YOUR FILES ARE ENCRYPTED!
---
If you want to recover them follow these steps:
1. Send $50 to this address:
BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo
2. Send email to:
cyber.duskfly&protonmail.com
3. Enjoy!
Do not waste your time trying recover your files using third party services! Only we can do that
Перевод записки на русский язык:
---
DUSK
---
Dusk v1.0
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
---
Если вы хотите вернуть их, выполните эти шаги:
1. Отправьте $50 на этот адрес:
BTC: 1EiGoumiJiBNDszEzTzasmQhCVaEYDDEbuo
2. Пришлите email на:
cyber.duskfly&protonmail.com
3. Радуйтесь!
Не тратьте свое время на восстановление файлов с помощью чужих сервисов! Только мы можем это сделать
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!#!READ-ME!#!.txt - название файла с требованием выкупа
Dusk.exe - название вредоносного файла
Dusk.pdb - оригинальное название проекта
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Engineer\source\repos\Dusk\Dusk\obj\Release\Dusk.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: cyber.duskfly@protonmail.com
BTC: 1EiGoumJiBNJszEzTzasmQhCVaEYDDEbuo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: cyber.duskfly@protonmail.com
BTC: 1EiGoumJiBNJszEzTzasmQhCVaEYDDEbuo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Ошибки:
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Ошибки:
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Dusk Ransomware - сентябрь 2020
Dusk 2 Ransomware - ноябряь 2020
Обновление от 9 ноября 2020:
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 9 ноября 2020:
Расширение: .DUSK
Записка: README.txt
Email: lasvegasincel@cocl.li, duskeer@protonmail.com
➤ Содержание записки:
------------------------------------------
DUSK
2
------------------------------------------
All your files have been encrypted using military grade encryption algorithms!
They cannot be decrypted without our securely generated key.
The only thing you can do now is buy your key and decryptor.
The price is 80 USD.
The only payment method we accept is BitCoin.
<<<<How to obtain Bitcoins?>>>>
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
<<<<How to contact you for the payment?>>>>
We use E-Mail to contact with our customers.
When contacting us please send your personal ID that can be seen at the end of the message.
Our main e-mail is:
lasvegasincel@cock.li
Our backup e-mail is:
duskeer@protonmail.com
NOTE:
Write to our backup e-mail only when you don't receive reply from our main e-mail in 48 hours.
<<<<Why do we do that?>>>>
We Are anonymous good people. We will transfer 75% of what we earn for good purposes.
<<<<If you're so evil>>>>
If you're evil and don't trust us you can send up to 2 files for free decryption. They can't weigh more than 2 MB (non-archived).
<<<<Attention!>>>>
Do not try to restore files without our help, this is useless and you may lose data permanetly
Do not rename encrypted files!
Do not use third party "decryptors"
Do not try to remove our heavenly software using evil AntiVirus or AntiMalware software
<<<<Personal ID>>>>
SgQUfK3wjAGJLsIfq4p0wvO2E3gig5q [всего 684 знаков]
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: S!Ri, GrujaRS Andrew Ivanov (author) Lukáš Zobal to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
