вторник, 27 октября 2020 г.

Mars

Mars Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные сайтов, серверов и компьютеров бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в $300-$2000 в BTC, чтобы вернуть файлы. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов. Оригинальное название: MARS Virus. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> Mars
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mars


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: !!!MARS_DECRYPT.TXT

Записка с суммой выкупа $300

Записка с суммой выкупа $2000

Содержание записки о выкупе: 
All your files have been encrypted with MARS Virus.
Your unique id: B7D70A6B4C8C41D38305FC492627EFAF
Our virus encrypted 15 of your office files (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf, fpt, php, cdr, mdb, accdb). 
You can buy decryption for 300$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption to mars_dec@outlook.com or anton_ivan_8989@mail.ru
2) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
3) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!
4) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 
or do this(If you have not received a reply by email):
1) Download and install Telegram Messanger: https://desktop.telegram.org/ (for Windows, Linux, macOS)
2) Find user mars_dec
3) Send your unique id B7D70A6B4C8C41D38305FC492627EFAF and max 3 files for test decryption.
4) After decryption, we will send you the decrypted files and a unique bitcoin wallet for payment.
5) Be careful! Fakes are possible in Telegram, never pay until you receive test files after decryption!
6) After payment ransom for Bitcoin, we will send you a decryption program and instructions. If we can decrypt your files, we have no reason to deceive you after payment. 
FAQ:
Can I get a discount?
No. The ransom amount is calculated based on the number of encrypted office files and discounts are not provided. All such messages will be automatically ignored.
What is Bitcoin?
read bitcoin.org
Where to buy bitcoins?
https://bitcoin.org/en/buy
https://buy.moonpay.io
or use google.com
Where is the guarantee that I will receive my files back?
The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you.
How quickly will I receive the key and decryption program after payment?
As a rule, within a few hours, but very rarely there may be a delay of 1-2 days.
How does the decryption program work?
It's simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all encrypted files in this folder and its subfolders.
I will complain about your Telegram account and mailbox's..
God help you. You won't find us anyway. But many people will be deprived of any opportunity to recover their files.


Перевод записки на русский язык: 
Все ваши файлы были зашифрованы MARS Virus.
Ваш уникальный  id: B7D70A6B4C8C41D38305FC492627EFAF
Наш вирус зашифровал 15 ваших офисных файлов (xls, xlsx, doc, docx, ppt, pptx, odt, ods, pdf, dwg, psd, dbf, fpt, ​​php, cdr, mdb, accdb).
Вы можете купить расшифровку за 300$ в биткойнах.
Но перед оплатой убедитесь, что мы действительно сможем расшифровать любой из ваших файлов.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Сделать это:
1) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для тестовой расшифровки на mars_dec@outlook.com или anton_ivan_8989@mail.ru
2) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.
3) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые файлы после расшифровки!
4) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.
или сделайте это (если вы не получили ответ по электронной почте):
1) Загрузите и установите Telegram Messanger: https://desktop.telegram.org/ (для Windows, Linux, macOS)
2) Найдите пользователя mars_dec
3) Отправьте свой уникальный id B7D70A6B4C8C41D38305FC492627EFAF и максимум 3 файла для тестовой расшифровки.
4) После расшифровки мы отправим вам расшифрованные файлы и уникальный биткойн-кошелек для оплаты.
5) Будьте осторожны! В Telegram возможны подделки, никогда не платите, пока не получите тестовые файлы после расшифровки!
6) После оплаты выкупа за биткойны мы вышлем вам программу расшифровки и инструкции. Если мы сможем расшифровать ваши файлы, у нас не будет причин обманывать вас после оплаты.
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
Могу ли я получить скидку?
Нет. Сумма выкупа рассчитывается исходя из количества зашифрованных офисных файлов, и скидки не предоставляются. Все такие сообщения будут автоматически игнорироваться.
Что такое биткойн?
читайте bitcoin.org
Где купить биткойны?
https://bitcoin.org/en/buy
https://buy.moonpay.io
или используйте google.com
Где гарантия, что я получу свои файлы обратно?
Сам факт, что мы можем расшифровать ваши случайные файлы, является гарантией. Для нас нет смысла обманывать вас.
Как быстро я получу ключ и программу дешифрования после оплаты?
Как правило, в течение нескольких часов, но очень редко может быть задержка на 1-2 дня.
Как работает программа дешифрования?
Это просто. Вам нужно скопировать ключ и выбрать папку для расшифровки. Программа автоматически расшифрует все зашифрованные файлы в этой папке и ее подпапках.
Я пожалуюсь на ваш аккаунт в Telegram и почтовые ящики ..
Бог тебе в помощь. Вы все равно нас не найдете. Но многие люди будут лишены возможности восстановить свои файлы.


Технические детали

Наверняка распространяется путём взлома через незащищенную конфигурацию RDP, т.к. большинство пострадавших сообщили, что об атаках на серверы, которые никогда не подключались к сети и ничего не скачивали.
При перенастройке вектора атаки могут начать распрсотраняться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.xls, .xlsx, .doc, .docx, .ppt, .pptx, .odt, .ods, .pdf, .dwg, .psd, .dbf, .fpt, .php, .cdr, .mdb, .accdb - как минимум. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, чертежи, веб-файлы и пр.

Файлы, связанные с этим Ransomware:
!!!MARS_DECRYPT.TXT - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
MARSDecryptor.exe - оригинальный дешифровщик

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Index of/
 
Мы нашли зашифрованные файлы на разных сайтах. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mars_dec@outlook.com, anton_ivan_8989@mail.ru
Telegram: mars_dec
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (decryptor)>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 ноября 2020:
Расширение: .vyb
Telegram: mars_dec



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage
 ID Ransomware (ID as Mars)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

11 комментариев:

  1. Hi there.

    my files are hit by .mars virus. Do you have any key or anti virus or decryptor to open up my fles?

    ОтветитьУдалить
    Ответы
    1. Alas, there is nothing. We need an executable to research and reverse engineering.

      Удалить
    2. do you have a decryptor for .vyb it encryted more than 73,000 of my work documents.

      Удалить
    3. There is no decryptor, there is not even a sample for analysis.

      Удалить
  2. Hi.
    I got .vyb mars ransomware after downloading file from free4pc.org how to fix files changed to .vyb

    ОтветитьУдалить
    Ответы
    1. There is no decryptor, there is not even a sample for analysis.

      Удалить
    2. So it is impossible to decrypt files since the email and telegram in ransom note is inactive

      Удалить
    3. Impossible at this point in time under such circumstances.

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *