MXX Ransomware
TucoSalamanca Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные серверов и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в 0.025 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
© Генеалогия: ??? >> MXX (TucoSalamanca)
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .MXX
Фактически используется составное расширение по шаблону:
.id-XXXXXXXX[<email>].MXX
Примеры зашифрованных сайтов:
photo001.png.id-8C76543[Tuko.Salamanca@mailfence.com].MXX
photo001.png.id-326C630[Tuko.Salamanca@mailfence.com].MXX
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую половину ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называются:
How To Recover Your Files!!!!.txt
How To Recover Your Files.txt
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How To Recover Your Files!!!!.txt - название файла с требованием выкупа
Содержание записки о выкупе:
Перевод записки на русский язык:
Hi !!!
All Your Files Have Been Encrypted!
Your system security is very low, worse things could have happened
But do not worry, I am here to help you
You can decrypt all your files for a fair amount of bitcoin, and I will help improve the security of your system.
Just send a message to this email : Tuko.Salamanca@mailfence.com
And write this ID in subject of your message : XXXXXXX
If we do not respond within 24 hours, Contact us with this email : TucoSalamanca@elude.in
If you do not pay, you will never find your system bug and your information will be leaked to others
Before paying you can send us up to 1 file for free decryption. the total size of files 1Mb, and files should not contain valuable information(Databases,Backups,Exel,etc).
Warning!!!!
* Never change the name of your files
* Never try to decrypt files with other tools, you may lose them forever
Перевод записки на русский язык:
Привет !!!
Все ваши файлы зашифрованы!
Безопасность вашей системы очень низкая, могло случиться и похуже
Но не волнуйтесь, я здесь, чтобы помочь вам
Вы можете расшифровать все свои файлы за приличную сумму биткойна, и я помогу повысить безопасность вашей системы.
Просто отправьте сообщение на этот адрес email: Tuko.Salamanca@mailfence.com
И впишите этот ID в тему вашего сообщения: XXXXXXX
Если мы не ответим в течение 24 часов, свяжитесь с нами по email: TucoSalamanca@elude.in
Если вы не заплатите, вы никогда не найдете свою системную ошибку, и ваша информация будет передана другим
Перед оплатой вы можете отправить нам 1 файл для бесплатной расшифровки. общий размер файлов 1Мб, при этом файлы не должны содержать ценной информации (базы данных,бэкапы,Exel и пр.).
Предупреждение!!!!
* Никогда не меняйте названия ваших файлов
* Никогда не пытайтесь расшифровать файлы чем-то другим, вы их потеряете
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How To Recover Your Files!!!!.txt - название файла с требованием выкупа
How To Recover Your Files.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: Tuko.Salamanca@mailfence.com
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: Tuko.Salamanca@mailfence.com
Email-2: TucoSalamanca@elude.in
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Один из пострадавших сайтов - xxxx://37.187.173.14/
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Один из пострадавших сайтов - xxxx://37.187.173.14/
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ДЕШИФРОВЩИК === DECRYPTOR ===
Оригинальный дешифровщик
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message, Message ID Ransomware (ID as ***) Write-up, Topic of Support, Topic of Support *
Thanks: AlexSvirid, Emmanuel_ADC-Soft, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
