InstallPay Ransomware
InstallPay Cover-Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0026 BTC (30$), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.9
BitDefender -> Trojan.GenericKD.44233226
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.lwxhw
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ACV
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/FileCoder.AB!MTB
Rising -> Ransom.Agent!1.CE20 (CLASSIC)
Symantec -> Downloader
TrendMicro -> TROJ_FRS.VSNW19J20
© Генеалогия: ??? >> InstallPay
К зашифрованным файлам добавляется расширение: .crypted
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных и испаноязычных пользователей, что позволяет распространять его по всему миру.
Запиской с требованием выкупа выступает изображение, заменяющее обои Раббочего стола и экран блокировки, в поля которого нужно ввести KEY1 и KEY2.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
pay.jpg - название файла-изображения с требованием выкупа
Rising -> Ransom.Agent!1.CE20 (CLASSIC)
Symantec -> Downloader
TrendMicro -> TROJ_FRS.VSNW19J20
© Генеалогия: ??? >> InstallPay
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .crypted
Этимология названия и пояснения:
Среди осмотренного "багажа" не было обнаружено никаких индивидуальных принадлежностей, которые могли бы идентифицировать программу и узнать ее название. Файл проекта и установочный файл называются Install.pdb и Install.exe соответственно. Визитная карточка - файл pay.jpg. Отсюда название InstallPay Ransomware.
Cover-Ransomware — я ввел новое название для программ-вымогателей, которые являются прикрытием для установки других вредоносных программ. Ранее вымогатели или фейк-вымогатели, которые вели себя подобным образом, уже были описаны в нашем Дайджесте, но мы не выделяли это в отдельный вид.
В различных Cover-Ransomware вредоносным компонентом могут быть трояны различного действия, банковские трояны (банкеры), инфостилеры (здесь — Echelon Stealer и Avalon Stealer), стиратели, деструкторы, doxware, майнеры и прочие. Описание смотрите в нашем Глоссарии.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных и испаноязычных пользователей, что позволяет распространять его по всему миру.
Запиской с требованием выкупа выступает изображение, заменяющее обои Раббочего стола и экран блокировки, в поля которого нужно ввести KEY1 и KEY2.
Содержание текста с экрана:
HEY. AS YOU ALREADY UNDERSTOOD, I HAVE ALL THE
LOGINS/PASSWORDS FOR ALL YOUR ACCOUNTS
AND ENCRYPT SOME YOUR FILES.
I GIVE YOU A CHOICE:
1. I DELETE YOU FROM MY DATABASE AND UNLCOK YOUR FILES.
2. I SELL YOUR DATA AND EVERYTHING I FOUND
ON THE BLACK MARKET.
IF YOU CHOOSE 1 ST WAY - SEND 0,0026 BTC (30$) TO WALLET
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
I GIVE YOU 40 HOURS
FOR MORE INFORMATION CHECK INSTALL.EXE
Перевод текста с экрана на русский язык:
ПРИВЕТ. КАК ВЫ УЖЕ ПОНЯЛИ, У МЕНЯ ВСЕ ЛОГИНЫ / ПАРОЛИ ОТ ВСЕХ ВАШИХ АККАУНТОВ И ЗАШИФРОВАНЫ НЕКОТОРЫЕ ВАШИ ФАЙЛЫ.
Я ДАЮ ВАМ ВЫБОР:
1. Я УДАЛЮ ВАС ИЗ МОЕЙ БАЗЫ ДАННЫХ И РАСКРОЮ ВАШИ ФАЙЛЫ.
2. ПРОДАЮ ВАШИ ДАННЫЕ, ЧТО НАШЕЛ, Н
А ЧЕРНОМ РЫНКЕ.
А ЧЕРНОМ РЫНКЕ.
ЕСЛИ ВЫ ВЫБИРАЕТЕ 1 ПУТЬ - ОТПРАВЬТЕ 0,0026 BTC (30 $) НА КОШЕЛЬК
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
ДАЮ ВАМ 40 ЧАСОВ
ДЛЯ ИНФОРМАЦИИ ПРОВЕРЬТЕ INSTALL.EXE
Скриншоты, полученные из разных систем
---
Из того, что удалось найти, есть ещё двуязычный текст на английском и испанском, но некоторые испанские буквы искажены.
Содержание текста о выкупе (из кода):
HEY. AS YOU ALREADY UNDERSTOOD, I HAVE ALL THE LOGINS/PASSWORDS FOR ALL YOUR ACCOUNTS AND ENCRYPT SOME YOUR FILES.
I GIVE YOU A CHOICE:
1. I DELETE YOU FROM MY DATABASE AND UNLCOK YOUR FILES.
2. I SELL YOUR DATA AND EVERYTHING I FOUND ON THE BLACK MARKET.
IF YOU CHOOSE 1ST WAY - SEND 0,0026 BTC (30$) TO WALLET
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
I GIVE YOU 48 HOURS if you don't know how to buy bitcoin, just ask google or just follow the link https://bitcoin.org/en/buy and buy 0,0026 BTC on my wallet address after this send me your KEY1 on James.Roach.10@gmail.com
HOLA. COMO USTED YA ENTIENDE, SUS INICIOS DE SESIÓN/CONTRASEÑAS PARA TODAS LAS CUENTAS CONMIGO, TAMBIÉN ENCRIPTÉ ALGUNOS DE SUS ARCHIVOS.
LE OFRECGO UNA OPCIÓN:
1. ELIMINARÉ SUS DATOS DE MI BASE DE DATOS Y DESCODIFICARÉ SUS ARCHIVOS.
2. VENDO TUS DATOS EN EL MERCADO NEGRO.
SI ELIGE LA PRIMERA MANERA - ENVÃE 0.0026 BTC ($ 30) A WALLET 1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
TE DOY 48 HORAS si no sabes cómo comprar bitcoin - pregunta a google o simplemente sigue el enlace https://bitcoin.org/en/buy y comprar 0.0026 bitcoins a mi número de billetera. y luego envÃeme su KEY1 a James.Roach.10@gmail.com
Перевод текста на русский язык:
ПРИВЕТ. КАК ВЫ УЖЕ ПОНЯЛИ, У МЕНЯ ЕСТЬ ВСЕ ЛОГИНЫ/ПАРОЛИ ДЛЯ ВСЕХ ВАШИХ УЧЕТНЫХ ЗАПИСЕЙ И ЗАШИФРОВАНЫ НЕКОТОРЫЕ ВАШИ ФАЙЛЫ.
ДАЮ ВАМ ВЫБОР:
1. Я УДАЛЯЮ ВАС ИЗ МОЕЙ БАЗЫ ДАННЫХ И РАЗЛОЧУ ВАШИ ФАЙЛЫ.
2. Я ПРОДАЮ ВАШИ ДАННЫЕ И ВСЁ, ЧТО НАШЕЛ, НА ЧЕРНОМ РЫНКЕ.
ЕСЛИ ВЫ ВЫБИРАЕТЕ ПЕРВЫЙ СПОСОБ - ОТПРАВЬТЕ 0,0026 BTC (30$) НА КОШЕЛЕК
1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
Я ДАЮ ВАМ 48 ЧАСОВ, если вы не знаете, как купить биткойны, просто спросите Google или просто перейдите по ссылке https://bitcoin.org/en/buy и купите 0,0026 BTC на адрес моего кошелька, после этого отправьте мне свой KEY1 на James.Roach.10@gmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ В составе обнаружены инфостилеры (Echelon Stealer и Avalon Stealer), которые используюся для хищения информации.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
pay.jpg - название файла-изображения с требованием выкупа
Install.pdb - название файла проекта
Install.exe - название вредоносного файла
Install.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Public\Documents\pay.jpg
%USERPROFILE%\Desktop\projects\Install\Install\obj\Release\Install.pdb"
C:\Users\google\Desktop\projects\Install\Install\obj\Release\Install.pdb
Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-293278959-2699126792-324916226-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Public\\Documents\\pay.jpg"
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: James.Roach.10@gmail.com
BTC: 1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: James.Roach.10@gmail.com
BTC: 1CB6tjk6QgHtxDjjmgbAk5wJtCPUHbuF4M
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + Tweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Video demo of the attack
Thanks: S!Ri Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
