Venom Ransomware
VenomRAT Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $999 BTC (в LTC или в ETH), чтобы вернуть файлы. Оригинальное название: Venom Software, VenomRAT. На файле написано: Lime_text.exe. Модуль шифрования файлов входит в состав VenomRAT и работает как ransomware. По предварительным данным, файлы можно расшифровать без уплаты выкупа.
---
Обнаружения:
© Генеалогия: VenomRAT >> Venom Ransomware
К зашифрованным файлам добавляется расширение: .Venom
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образец этого VenomRAT с крипто-вымогателем в составе был обнаружен в середине ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW-TO-RECOVER-YOUR-FILES.txt
Распространяется через форумы киберандеграунда, в том числе на распродажах.
Обнаружения:
ALYac -> Backdoor.MSIL.Quasar.gen
Avira (no cloud) -> HEUR/AGEN.1123483
BitDefender -> Gen:Heur.MSIL.Krypt.6
DrWeb -> BackDoor.QuasarNET.1
ESET-NOD32 -> A Variant Of MSIL/Agent.AIA
Kaspersky -> HEUR:Trojan-Spy.MSIL.HiveMon.gen
Malwarebytes -> Backdoor.Venom
Rising -> Exploit.Uacbypass!1.C6DD (CLASSIC)
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan-spy.Hivemon.Dvfu
TrendMicro -> TROJ_GEN.R054C0GJO20
---
ALYac -> Backdoor.MSIL.Quasar.gen
Avira (no cloud) -> TR/Kryptik.ffalg
BitDefender -> Trojan.GenericKD.44118579
DrWeb -> BackDoor.QuasarNET.1
ESET-NOD32 -> A Variant Of MSIL/Kryptik.YGJ
Kaspersky -> HEUR:Trojan-Spy.MSIL.Quasar.gen
Malwarebytes -> Trojan.MalPack.MSIL
Symantec -> Trojan.Gen.2
Tencent -> Msil.Trojan-spy.Quasar.Swkq
TrendMicro -> TrojanSpy.MSIL.QUASAR.ERSUSK620
© Генеалогия: VenomRAT >> Venom Ransomware
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Venom
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого VenomRAT с крипто-вымогателем в составе был обнаружен в середине ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW-TO-RECOVER-YOUR-FILES.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
**INSTRUCTRIONS TO FOLLOW TO GET YOUR FILES BACK**
Go to blockchain.com create a bitcoin wallet if you do not possess one already...
Then proceed to your citys nearest Bitcoin ATM and deposit exactly $999 dollars usd *Heres a perk for you** you get to pick which cyrpto currency to send me wow im seriously in suspense qas to which one you pick:) here are your choices...
Bitcoin
Litecoin
Ethereum
once youve chosen follow the bitcoin atms directions to succesfully pay my bills
Once you've completed this daunting task send the crypto currency youve chosin to the following address corresponding to the crypto currency you purchased.
Перевод записки на русский язык:
** ИНСТРУКЦИИ, ЧТОБЫ ВЕРНУТЬ ФАЙЛЫ **
Зайдите на blockchain.com и создайте биткойн-кошелек, если у вас его еще нет ...
Затем идите в ближайший к вашему городу биткойн-банкомат и внесите ровно $999 США *Вот вам бонус** вы можете выбрать, какую криптовалюту отправить мне, вау, я в ожидании, какую из них вы выберете :) вот ваш выбор. ..
Bitcoin
Litecoin
Ethereum
после того, как вы выбрали, следуйте инструкциям банкоматов с биткойнами, чтобы успешно оплатить мои счета
После того, как вы выполните эту непростую задачу, отправьте выбранную вами криптовалюту по следующему адресу, соответствующему приобретенной вами криптовалюте.
Технические детали
Распространяется через форумы киберандеграунда, в том числе на распродажах.
После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Мы не нашли образца, где шифровальщик или ransomware-модуль входит в комплект, но нашли скриншоты более ранних версий. Возможно, что позже кто-нибудь предоставит дополнительный скриншот.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Мы не нашли образца, где шифровальщик или ransomware-модуль входит в комплект, но нашли скриншоты более ранних версий. Возможно, что позже кто-нибудь предоставит дополнительный скриншот.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW-TO-RECOVER-YOUR-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Скриншоты от ииследователя:
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 31 января 2022:
Расширение: .V3NOM
Файл: Venom.exe
Файлы проектов и другие:
C:\Users\vampi\source\repos\Venom\Venom\obj\Debug\Venom.pdb
C:\Windows\Venom.pdb
C:\Windows\System.pdb
C:\Users\User\Desktop\Wallpaper.png
C:\Users\User\Documents\1.js
Файл для дешифровки: VenomD3crypt0r.exe
➤ Обнаружения:
DrWeb -> Trojan.KillMBRNET.1
BitDefender -> Trojan.Ransom.GenericKD.38821711
ESET-NOD32 -> A Variant Of MSIL/KillMBR.AB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Rising -> Trojan.Generic/MSIL@AI.97 (RDM.MSIL:4nF*
Symantec -> ML.Attribute.HighConfide
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message ID Ransomware (ID as ***) Write-up (about VenomRAT), Topic of Support *
Thanks: Karsten Hahn Andrew Ivanov (article author) MalwareLab to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
