Если вы не видите здесь изображений, то используйте VPN.

вторник, 10 ноября 2020 г.

HowAreYou

HowAreYou Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33072
BitDefender -> Trojan.GenericKD.35166310
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.gohun
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEP
Malwarebytes -> Ransom.FileCryptor
Symantec -> Downloader
TrendMicro -> Ransom_HwruGo.R011C0DKC20


© Генеалогия: ??? >> HowAreYou

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .howareyou

Файлы не переименовываются, но все буквы переводятся в нижний регистр. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __read_me_.txt

Содержание записки о выкупе: 
Your files have been encrypted and copied to our private servers!
ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ ПРИВЕДЕТ К БЕЗВОЗВРАТНОМУ ПОВРЕЖДЕНИЮ ФАЙЛОВ.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
But keep calm! There is a solution for your problem!
For some money reward we can decrypt all your encrypted files.
Also we will delete all your private data from our servers.
To prove that we are able to decrypt your files we give you the ability to decrypt 2 files for free.
So what is you next step ? Contact us for price and get the decryption software.
Our Mail: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
Your ClientId: XXXXXXXXXXXXXXXX
We would share your SENSITIVE DATA in case you refuse to pay.

Перевод записки на русский язык: 
Ваши файлы зашифрованы и скопированы на наши частные серверы!
ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ НАДО ИСПРАВИТ ЭТО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
Но успокойся! Решение вашей проблемы есть!
За небольшое денежное вознаграждение мы можем расшифровать все ваши зашифрованные файлы.
Также мы удалим все ваши личные данные с наших серверов.
Чтобы доказать, что мы можем расшифровать ваши файлы, мы даем вам возможность бесплатно расшифровать 2 файла.
Итак, каков ваш следующий шаг? Свяжитесь с нами, чтобы узнать цену и получить программу для дешифрования.
Наша почта: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
Ваш ClientId: XXXXXXXXXXXXXXXX
Мы поделимся вашими ДАННЫМИ, если вы откажетесь платить.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__read_me_.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dfkjhdkjsdjfgkjdsfhkjskdjfhkj@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message 
 ID Ransomware (ID as HowAreYou)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *