HowAreYou Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33072
BitDefender -> Trojan.GenericKD.35166310
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.gohun
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEP
Malwarebytes -> Ransom.FileCryptor
Symantec -> Downloader
TrendMicro -> Ransom_HwruGo.R011C0DKC20
© Генеалогия: ??? >> HowAreYou
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .howareyou
Файлы не переименовываются, но все буквы переводятся в нижний регистр.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: __read_me_.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Your files have been encrypted and copied to our private servers!
ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ ПРИВЕДЕТ К БЕЗВОЗВРАТНОМУ ПОВРЕЖДЕНИЮ ФАЙЛОВ.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
But keep calm! There is a solution for your problem!
For some money reward we can decrypt all your encrypted files.
Also we will delete all your private data from our servers.
To prove that we are able to decrypt your files we give you the ability to decrypt 2 files for free.
So what is you next step ? Contact us for price and get the decryption software.
Our Mail: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
Your ClientId: XXXXXXXXXXXXXXXX
We would share your SENSITIVE DATA in case you refuse to pay.
Перевод записки на русский язык:
Ваши файлы зашифрованы и скопированы на наши частные серверы!
ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ НАДО ИСПРАВИТ ЭТО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
Но успокойся! Решение вашей проблемы есть!
За небольшое денежное вознаграждение мы можем расшифровать все ваши зашифрованные файлы.
Также мы удалим все ваши личные данные с наших серверов.
Чтобы доказать, что мы можем расшифровать ваши файлы, мы даем вам возможность бесплатно расшифровать 2 файла.
Итак, каков ваш следующий шаг? Свяжитесь с нами, чтобы узнать цену и получить программу для дешифрования.
Наша почта: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
Ваш ClientId: XXXXXXXXXXXXXXXX
Мы поделимся вашими ДАННЫМИ, если вы откажетесь платить.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
__read_me_.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message ID Ransomware (ID as HowAreYou) Write-up, Topic of Support *
Thanks: S!Ri, Michael Gillespie, Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
