16x Ransomware
(шифровальщик-не-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует отправить на email код, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 16x.exe.
---
Обнаружения:
DrWeb -> Trojan.Packed.193
ALYac -> Trojan.Ransom.Filecoder
BitDefender -> Trojan.GenericKD.35873483
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.HFL
Kaspersky -> Trojan-Ransom.Win32.Agent.azfs
Malwarebytes -> Trojan.MalPack.Themida
Microsoft -> Trojan:Win32/CryptInject!ml
Symantec -> ML.Attribute.HighConfidence
---
© Генеалогия: ??? >> 16x
К зашифрованным файлам добавляется расширение: .16x
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает следующий экран. Изображение черепа "оживает", как бы говорит текст.
Сообщение после расшифровки:
Перевод записки на русский язык:
Перевод сообщения после расшифровки:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
16x.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: 3475857701@qq.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
ESET-NOD32 -> A Variant Of Win32/Packed.Themida.HFL
Kaspersky -> Trojan-Ransom.Win32.Agent.azfs
Malwarebytes -> Trojan.MalPack.Themida
Microsoft -> Trojan:Win32/CryptInject!ml
Symantec -> ML.Attribute.HighConfidence
---
© Генеалогия: ??? >> 16x
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .16x
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает следующий экран. Изображение черепа "оживает", как бы говорит текст.
Содержание записки о выкупе:
Hello, my friend, it's nice to meet you, don't ask me who I am, I'm not a hacker, the first time I met you brought trouble, I'm sorry! Because your programming source file is encrypted by me! Without my password, your source files will not be unlocked, do not try to crack, otherwise your source files will be automatically deleted!
Please send your code to: [3475857701@qq.com]
Your Order Number: ***
Password:_
Сообщение после расшифровки:
Hello, my friend, your data has been recovered. I hope we don't see each other next time!
Перевод записки на русский язык:
Привет, друг мой, приятно познакомиться, не спрашивай, кто я, я не хакер, первая встреча с тобой принесла неприятности, извини! Потому что твой исходный файл программирования зашифрован мной! Без моего пароля твои исходные файлы не будут разблокированы, не пытайся взломать, иначе твои исходные файлы будут автоматически удалены!
Отправь свой код на: [3475857701@qq.com]
Номер твоего заказа: ***
Пароль:_
Привет, друг мой, твои данные восстановлены. Надеюсь, в следующий раз мы не увидимся!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
16x.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: 3475857701@qq.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as 16x) Write-up, Topic of Support *
Thanks: Jirehlov Solace, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
