Если вы не видите здесь изображений, то используйте VPN.

суббота, 31 октября 2020 г.

SZ40, Lorenz

SZ40 Ransomware

Lorenz Ransomware

Lorenz (SZ40) Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов RSA + AES (режим CBC), а затем требует выкуп в 50 BTC, чтобы вернуть файлы. Угрожает опубликовать украденные данные в Интернете. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> *** / Trojan.Encoder.33931
BitDefender ->  Gen:Variant.Doina.12046
Avira (no cloud) -> TR/Ransom.Agent.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.D
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.A, Ransom.Win32.THUNDERCRYPT.SM
---

© Генеалогия: ThunderCrypt >> SZ40 > Lorenz

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sz40

Неизвестно, статическое это название или изменяемое. Это может быть аббревиатура названия ПК или компании. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_SECURITY_EVENT.html


Содержание записки о выкупе: 
.sz40
Good day!
We have download and encrypted all your company files!
We did this using hybrid RSA-2048 public key encryption. It basically means there is no way to decrypt your files without the private key. The private key is stored on our server.
Indeed, we can recover your files. You just have to pay us before the deadline.
If you don't, the private key will be securely erased from our server, you lose encrypted files forever and we will publish all the contents of your company includes client's databases with personal data on the internet.
Transfer required amount to the Bitcoin address below, wich was generated just for your payment. As soon as the transaction gets confirmed, leave your contact mail to hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (it's Tor site, use Tor Browser hxxxs://www.torproject.org/download/) to get instructions and key to restore all your files.
WARNING! Antivirus software, police or anyone can't decrypt your files. Also any attemps to modify files may damaged them and even we won't be able to recover them.
Bitcoin walet:
***
Amount:
50 Btc
Deadline:
11/03/2020


Перевод записки на русский язык: 
.sz40
Добрый день!
Мы скачали и зашифровали все файлы вашей компании!
Мы сделали это, используя гибридное шифрование с открытым ключом RSA-2048. По сути, это значит, что невозможно расшифровать ваши файлы без закрытого ключа. Закрытый ключ хранится на нашем сервере.
Да, мы можем восстановить ваши файлы. Вы просто должны заплатить нам до истечения срока.
Если вы этого не сделаете, закрытый ключ будет удален с нашего сервера, вы потеряете зашифрованные файлы навсегда, а мы опубликуем все содержимое вашей компании, включая клиентские базы данных с личными данными в Интернете.
Переведите нужную сумму на указанный ниже биткойн-адрес, который был сгенерирован только для вашего платежа. Как только транзакция будет подтверждена, оставьте свой контактный email-адрес на hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php (это сайт Tor, используйте браузер Tor hxxxs://www.torproject.org/download/), чтобы получить инструкции и ключ. чтобы восстановить все ваши файлы.
ПРЕДУПРЕЖДЕНИЕ! Антивирусная программа, полиция или кто-то еще не смогут расшифровать ваши файлы. Также любые попытки изменить файлы могут повредить их, и даже мы не сможем их восстановить.
Биткойн-кошелек:
***
Количество:
50 Btc
Крайний срок:
11.03.2020


Скриншот указанного в записке Tor-сайта. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Очищает системыне журналы. 
Регистрируется как системная служба, чтобы обеспечить автоматический запуск вредоносного файла при каждом запуске системы, добавляет в реестр следующий ключ:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускает следующие директории: 
$Recycle.Bin
All Users
Local
Microsoft
Packages
Program Files
Program Files (x86)
ProgramData
Temp
WINDOWS
Windows

Маркер зашифрованных файлов:

Файлы, связанные с этим Ransomware:
HELP_SECURITY_EVENT.html - название файла с требованием выкупа;
<random>.js - вредоносный файл-скрипт;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service_123

Мьютексы:
sz40

Сетевые подключения и связи:
Tor-URL: hxxx://wml7e7kg5a6lto2aeomtjzx4lquala75xsbkumjeyd4fselxp6s2lxad.onion/index.php
Email:
BTC: скрыт исследователем
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

ThunderCrypt Ransomware - май 2017
SZ40 Ransomware - октябрь 2020
Lorenz Ransomware - март 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 4 марта 2021:
Самоназвание: Lorenz Ransomware
Расширение: аббревиатура названия ПК или компании
Замеченные расширения: .Lorenz или .Lorenz.sz40
Записка: HELP_SECURITY_EVENT.html
Файлы: %User Temp%\MoUsoCoreWorker.exe
%Windows%\dws.exe
%Windows%\tWjdf.js
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33931
BitDefender -> Gen:Variant.Johnnie.310333, Gen:Variant.Doina.12046
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.THUNDERCRYPT.SM
---

Сообщение от 30 июня 2021: 
Tesorion выпустила бесплатный дешифратор для Lorenz Ransomware, который позволяет жертвам бесплатно восстанавить некоторые свои файлы (документы Office, файлы PDF, некоторые типы изображений и видеофайлы) без уплаты выкупа. Другие типы файлов не будут расшифрованы. 
Загрузить дешифровщик можно с сайта NoMoreRansom по ссылке >>


Вариант от 14 ноября 2021: 
Расширение: .Lorenz.sz40
Записка: HELP_SECURITY_EVENT.html
Файл изображения: ECes1Ma81x0h.bmp
Сайт: hxxx://lorenzezzket6afhfqfjagefsrjn44edsgi26kq4sfhqjal6wyneh4yd.onion
Сайт Leaks: hxxx://lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion
Результаты анализов: VT + TG


 


=== 2022 ===

Вариант от 2 марта 2022:
Расширение: .Lorenz.sz40
Записка: HELP.TXT
Tor-URL: hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion
hxxx://lorenzedzgezlufsyu26s5onxjjakikbpbwo7km6upptlxp5m3ytftad.onion.ly
Результаты анализов: VT + IA + HA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.35136
BitDefender -> Trojan.GenericKD.39120532
ESET-NOD32 -> A Variant Of Win32/Filecoder.Lorenz.F
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypren.gen
Malwarebytes -> Ransom.Lorenz
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> Ransom.Convagent!8.123A1 (CLOUD)
TrendMicro -> Ransom_Crypren.R002C0WC522






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myTweet
 ID Ransomware (ID as ThunderCrypt / Lorenz)
 Write-up, Topic of Support
 * 
Внимание!
В некоторых случаях файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >> 
---
Загрузить дешифровщик для Lorenz можно по ссылке >>
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 Kangxiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 29 октября 2020 г.

CCECrypt

CCECrypt Ransomware

CCE Ransomware

AIEOU Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Описанный вариант предназначен для Windows x64. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32965
BitDefender -> Trojan.GenericKD.44254481
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.terpo
ESET-NOD32 -> A Variant Of Win64/Filecoder.CQ
Kaspersky -> Trojan.Win32.Udochka.ba
Malwarebytes -> Ransom.CCECrypt
Rising ->
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Udochka.Lkdo
TrendMicro -> TROJ_GEN.R002C0WJV20


© Генеалогия: ??? >> CCECrypt (CCE) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aieou
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt


Содержание записки о выкупе:
Your files were infected with ransomware and encrypted. If you wish to recover, please contact the email address below and pay 1 BTC or more.cce_2020_final@cce2020.kr

Перевод записки на русский язык:

Ваши файлы заражены ransomware и зашифрованы. Если хотите вернуть, пишите на email-адрес ниже и платите 1 BTC или more.cce_2020_final@cce2020.kr



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
<random>.exe - название вредоносного файла
n0tepad.exe - название вредоносного файла
20200824_112607.exe - название вредоносного файла
cce_final_ransom.pdb - файл оригинального проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\n0tepad.exe
C:\Windows\system32\conhost.exe
C:\Users\Administrator\source\repos\cce_final_ransom\x64\Release\cce_final_ransom.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
more.cce_2020_final@cce2020.kr
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Comrade335
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ScatterBrain

ScatterBrain Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+ChaCha, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ScatterBrain. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32967
BitDefender -> Trojan.GenericKD.44252380
Avira (no cloud) -> TR/Ransom.qzozq
ESET-NOD32 -> MSIL/Filecoder.ACY
Malwarebytes -> Ransom.FileCryptor
Symantec -> Ransom.Wannacry
TrendMicro -> TROJ_GEN.R069H0DJS20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> ScatterBrain

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: contactUs.txt


Содержание записки о выкупе: 
This is your decryption info-pack. Here you can find information on how to decrypt your files and continue with your business. 
FAQ: 
This decryption pack contains: contactUs.txt (this file), 
encryptedFiles.txt (files that have been encrypted) - do not delete this file if your wish to decrypt your files later on, 
RSA-EncryptedKey.txt - encrypted information containing the decryption password. Quote this key during any communication with us. 
====================================================================================================
Q: Why should I trust you? 
1) We guarantee that your files will be decrypted if you contact us within a reasonable timeframe. Nobody would do business with us if we could not deliver on this promise. 
Q: What is that you can do ? 
2) Our promise is that we WILL provide the decrypter and decryption keys to each of the affected workstations on your network and we WILL provide a proof of our words to you on request. 
Q: How much will it cost me to bring my files back ? 
3) Price for the decryption key and the deletion of your sensitive data from our servers can be negotiated over the contact details provided. We are happy to apply a discounted price if you contact us early. 
Q: How do I contact you ? 
4) Should you wish to proceed with our offer, please contact us at anon4113@protonmail.com. We will respond within reasonable time to set up the meeting and answer all your questions. 
====================================================================================================
Please note that a failure to respond within 7 days will have the consequences of your stakeholder data being released to the public which may damage your company trust and reputation. We hope to hear from you soon.

Перевод записки на русский язык: 
Это ваш информационный пакет для расшифровки. Здесь вы можете найти информацию о том, как расшифровать ваши файлы и продолжить свой бизнес.
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
Этот пакет расшифровки содержит: contactUs.txt (этот файл),
encryptedFiles.txt (файлы, которые были зашифрованы) - не удаляйте этот файл, если вы хотите расшифровать ваши файлы позже,
RSA-EncryptedKey.txt - зашифрованная информация, содержащая пароль для дешифрования. Процитируйте этот ключ при любом общении с нами.
================================================== ==================================================
В: Почему я должен вам доверять?
1) Мы гарантируем, что ваши файлы будут расшифрованы, если вы свяжетесь с нами в разумные сроки. Никто не стал бы вести с нами дела, если бы мы не смогли выполнить это обещание.
В: Что вы можете сделать?
2) Мы обещаем, что мы предоставим дешифратор и ключи дешифрования для каждой из затронутых рабочих станций в вашей сети, и мы предоставим вам подтверждение наших слов по запросу.
В: Сколько мне будет стоить вернуть мои файлы?
3) Стоимость ключа дешифрования и удаления ваших конфиденциальных данных с наших серверов может быть согласована по предоставленным контактным данным. Мы будем рады применить скидку, если вы свяжетесь с нами раньше.
Q: Как с вами связаться?
4) Если вы хотите продолжить работу с нашим предложением, свяжитесь с нами по адресу anon4113@protonmail.com. Мы ответим в разумные сроки, чтобы назначить встречу и ответить на все ваши вопросы.
================================================== ==================================================
Обратите внимание, что отсутствие ответа в течение 7 дней повлечет за собой разглашение данных ваших заинтересованных сторон, что может нанести ущерб доверию и репутации вашей компании. Мы надеемся услышать вас скоро.
---

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.
Содержание текста с этого изображения:
This company network was riddled with vulnerabilities and in consequence has suffered a breach. When you disregard the security of the system in favour of savings that is where bad things happen. We took advantage of that.
As you might have already noticed your important files have been encrypted, they can be recognized as having *.encrypted extension. Any tempering with these files will result in unrecoverable damage. Do not change the extensions if you wish to decrypt those files later on.
Windows restore points have been deleted, reverting to previous state is impossible unless you were keeping regular offline backups of your files from each of the workstations....
Your critical files such as clients information and your stakeholder data was exfiltrated. Ask for the sample if you need a proof.
This sensitive data has not been released to anyone, yet.
We are willing to work with you to maintain your company trust and reputation in the eyes of those who you do business with.
Our contact details and decryption instructions can be found in C:\ProgramData\DecryptionPack\contactUs.txt on each of the affected
workstations.
For us it is business and not personal.

Перевод текст ан арусский язык:
Сеть этой компании была пронизана уязвимостями и, как следствие, пострадала от взлома. Когда вы пренебрегаете безопасностью системы в пользу экономии, тогда случаются плохие вещи. Мы этим воспользовались.
Как вы, возможно, уже заметили, ваши важные файлы были зашифрованы, их можно распознать как имеющие расширение * .encrypted. Любое 
вмешательство в эти файлы приведет к невосстановимому ущербу. Не меняйте расширения, если вы хотите расшифровать эти файлы позже.
Точки восстановления Windows были удалены, возврат к предыдущему состоянию невозможен, если вы не делали регулярные автономные резервные копии ваших файлов с каждой из рабочих станций ....
Ваши важные файлы, такие как информация о клиентах и ​​данные ваших заинтересованных сторон, были украдены. Если вам нужны доказательства, попросите образец.
Эти конфиденциальные данные пока никому не переданы.
Мы готовы работать с вами, чтобы поддерживать доверие и репутацию вашей компании в глазах тех, с кем вы ведете бизнес.
Наши контактные данные и инструкции по расшифровке можно найти в C:\ProgramData\DecryptionPack\contactUs.txt на каждом из затронутых
рабочие станции.
Для нас это бизнес, а не личное.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
contactUs.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
ScatterBrain.pdb - оригинальное название проекта
filesToEncrypt.txt
encryptedFiles.txt
RSA-EncryptedKey.txt


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\Desktop\ScatterBrain-slim\x64\Release\ScatterBrain.pdb
C:\ProgramData\DecryptionPack

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
anon4113@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 27 октября 2020 г.

Mars, MarsDecrypt

Mars Ransomware

MarsDecrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные сайтов, NAS-устройств, серверов и компьютеров бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в $300-$2000 в BTC, чтобы вернуть файлы. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов. Оригинальное название: MARS Virus. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> Mars
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mars


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: !!!MARS_DECRYPT.TXT

Записка с суммой выкупа $300

Записка с суммой выкупа $2000

Содержание записки о выкупе: 
All your files have been encrypted with MARS Virus.
Your unique id: B7D70A6B4C8C41D38305FC492627EFAF
Our virus encrypted 15 of your office files (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf, fpt, php, cdr, mdb, accdb). 
You can buy decryption for 300$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption to mars_dec@outlook.com or anton_ivan_8989@mail.ru
2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
3) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!
4) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 
or do this(If you have not received a reply by email):
1) Download and install Telegram Messanger: https://desktop.telegram.org/ (for Windows, Linux, macOS)
2) Find user mars_dec
3) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption.
4) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
5) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!
6) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 
FAQ:
Can I get a discount?
No. The ransom amount is calculated based on the number of encrypted office files and discounts are not provided. All such messages will be automatically ignored.
What is Bitcoin?
read bitcoin.org
Where to buy bitcoins?
https://bitcoin.org/en/buy
https://buy.moonpay.io
or use google.com
Where is the guarantee that I will receive my files back?
The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you.
How quickly will I receive the key and decryption program after payment?
As a rule, within a few hours, but very rarely there may be a delay of 1-2 days.
How does the decryption program work?
It's simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all encrypted files in this folder and its subfolders.
I will complain about your Telegram account and mailbox's..
God help you. You won't find us anyway. But many people will be deprived of any opportunity to recover their files.


Перевод записки на русский язык: 
Все ваши файлы были зашифрованы MARS Virus.
Ваш уникальный  id: B7D70A6B4C8C41D38305FC492627EFAF
Наш вирус зашифровал 15 ваших офисных файлов (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf, fpt, ​​php, cdr, mdb, accdb).
Вы можете купить расшифровку за 300$ в биткойнах.
Но перед оплатой убедитесь, что мы действительно сможем расшифровать любой из ваших файлов.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Сделать это:
1) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для тестовой расшифровки на mars_dec@outlook.com или anton_ivan_8989@mail.ru
2) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.
3) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые файлы после расшифровки!
4) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.
или сделайте это (если вы не получили ответ по электронной почте):
1) Загрузите и установите Telegram Messanger: https://desktop.telegram.org/ (для Windows, Linux, macOS)
2) Найдите пользователя mars_dec
3) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для тестовой расшифровки.
4) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.
5) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые файлы после расшифровки!
6) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
Могу ли я получить скидку?
Нет. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов, и скидки не предоставляются. Все такие сообщения будут автоматически игнорироваться.
Что такое биткойн?
читайте bitcoin.org
Где купить биткойны?
https://bitcoin.org/en/buy
https://buy.moonpay.io
или используйте google.com
Где гарантия, что я получу свои файлы обратно?
Сам факт, что мы можем расшифровать ваши случайные файлы, является гарантией. Для нас нет смысла обманывать вас.
Как быстро я получу ключ и программу дешифрования после оплаты?
Как правило, в течение нескольких часов, но очень редко может быть задержка на 1-2 дня.
Как работает программа дешифрования?
Это просто. Вам нужно скопировать ключ и выбрать папку для расшифровки. Программа автоматически расшифрует все зашифрованные файлы в этой папке и ее подпапках.
Я пожалуюсь на ваш аккаунт в Telegram и почтовые ящики ..
Бог тебе в помощь. Вы все равно нас не найдете. Но многие люди будут лишены возможности восстановить свои файлы.


Технические детали

Наверняка распространяется путём взлома через незащищенную конфигурацию RDP, т.к. большинство пострадавших сообщили, что об атаках на серверы, которые никогда не подключались к сети и ничего не скачивали.
При перенастройке вектора атаки могут начать распрсотраняться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.xls, .xlsx, .doc, .docx, .ppt, .pptx, .odt, .ods, .pdf, .dwg, .psd, .dbf, .fpt, .php, .cdr, .mdb, .accdb - как минимум. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, видеофайлы, чертежи, веб-файлы и пр.

Файлы, связанные с этим Ransomware:
!!!MARS_DECRYPT.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
MARSDecryptor.exe - оригинальный дешифровщик

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Index of/
 
Мы нашли зашифрованные файлы на разных сайтах. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mars_dec@outlook.com, anton_ivan_8989@mail.ru
Telegram: mars_dec
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (MARSDecryptor.exe) >>
🐞 Intezer analysis (
MARSDecryptor.exe) >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 30 ноября 2020:
Расширение: .vyb
Telegram: mars_dec

Обновление от 2 фераля 2021:
Пост на форуме >>
Расширение: .mars 
Email: anton_ivan_8989@mail.ru
Этот вымогатель всё ещё активен. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage
 ID Ransomware (ID as Mars)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *