Если вы не видите здесь изображений, то используйте VPN.

понедельник, 14 декабря 2020 г.

CoderCrypt

CoderCrypt Ransomware

CoderWare Mobile Ransomware

FakeCyberPunk2077 Ransomware

(шифровальщик-вымогатель для Android) (первоисточник)

Translation into English


Этот крипто-вымогатель для Android-устройств шифрует данные пользователей с помощью RC4, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: CoderCrypt, CoderWare. Распространяется с поддельного веб-сайта, имитирующего Google Play Store, маскируясь под под файл игры Cyberpunk2077. На файле написано: CyberPunk2077Mobile.apk. 
---
Обнаружения:
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.Agent.bs
Avira (no cloud) -> ANDROID/Ransom.FileCoder.emtnz
DrWeb -> Android.Encoder.12
ESET-NOD32 -> Android/Filecoder.I
Microsoft -> Ransom:AndroidOS/CdrCrypt.A!MTB
Symantec -> Trojan.Gen.2
Symantec Mobile Insight -> AdLibrary:Generisk
Qihoo-360 -> Trojan.Android.Gen
---

© Генеалогия: 
BlackKingdom (CoderWare) >> CoderCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .coderCrypt
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: README.txt



Содержание записки о выкупе:
hey Down! Seems like you got hit by CoderWare !
warning: take a screenshot of this place. If you lose the information here, you'll never get to us. and it would be impossible to get your dosys
Don't Panic, you get have your files back!
CoderWare uses a basic encryption script to lock your files.This type of  is known as CRYPTO.
You'll need a decryption key in order to unlock your files.
Your files will be deleted when the timer runs out, so you better http://hurry.You have 10 hours to find your key
When you pay >>> 500$  <<< to the Bitcoin address below, 
you will need to send a single as proof to our e-mail address, 
and if the receipt is correct, your code to decrypt our files to your e-mail address. It will be sent back to you via e-mail.  
But you have to be quick for that. Because you have 24 hours. If you do not pay within 10 hours, your files will be permanently deleted.
And it would be out of reach again. If you don't know how to get bitcoin. 
https://buy.moonpay.io
can quickly get your credit or debit card online from the website.
Please type the bitcoin address shown on the screen in the wallet field on the website. If you try to shut it down by force, 
you'll lose your files. because if you lose your bitcoin address,
you won't be able to pay. and you'll never get your files back.
If you delete the application, it will be impossible to access your files.
 email: alrescodercry@protonmail.com
bitcoin Adress : 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K
telegram : 
@Codersan

Перевод записки на русский язык:
привет, Даун! Похоже, тебя ударил CoderWare!
важно: сделай скриншот этого места. Если ты потеряешь инфу отсюда, то никогда не попадешь к нам. и не получишь свои доки
Не паникуй, ты вернешь свои файлы!
CoderWare использует базовый скрипт шифрования для блокировки ваших файлов, этот тип известен как CRYPTO.
Для разблокировки файлов тебе нужен ключ дешифрования.
Твои файлы будут удалены когда таймер обнулится, так что торопись. У тебя 10 часов, чтобы найти свой ключ
Когда ты платишь >>> 500$  <<< на биткойн-адрес ниже, нужно отправить копию на наш email-адрес, и, если квитанция верна, твой код для расшифровки файлов на твой email-адрес. Он будет переправлен тебе по email.
Но для этого нужно действовать быстро. Потому что у тебя 24 часа. Если ты не заплатишь за 10 часов, твои файлы будут удалены без возможности восстановления.
И это снова будет вне досягаемости. Если ты не знаешь, как получить биткойн. https://buy.moonpay.io
можешь быстро получить свою кредитную или дебетовую карту онлайн на веб-сайте.
Пожалуйста, введи биткойн-адрес, показанный на экране, в поле кошелька на веб-сайте. Если ты захочешь выключить его силой, ты потеряешь свои файлы. потому что, если ты потеряешь свой биткойн-адрес, ты не сможешь заплатить. и ты никогда не получишь свои файлы обратно.
Если ты удалишь приложение, доступ к твоим файлам будет невозможен.
email: alrescodercry@protonmail.com
Биткойн Адрес: 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K
Telegram: @Codersan



Технические детали

Распространяется с поддельного веб-сайта, имитирующего Google Play Store, маскируясь под файл популярной игры Cyberpunk2077. Скопировано и подделано описание от реальной игры, для демонстрации используются оригинальные игровые кадры.  

 


См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Подробности по шифрованию и дешифрованию:
Для шифрования используется алгоритм RC4 с жестко запрограммированным ключом "21983453453435435738912738921" (в изученном образце). Это значит, что файлы с помощью этого ключа можно расшифровать, не заплатив выкуп. Сообщение Татьяны Шишковой >>



Список файловых расширений, подвергающихся шифрованию:
Это документы, текстовые файлы, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа
CyberPunk2077Mobile.apk - название вредоносного файла

 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://cyberpunk2077mobile.com
Email: alrescodercry@protonmail.com
BTC: 336Fvf8fRrpySwq8gsaWdf7gfuGm5FQi8K
Telegram: @Codersan
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Имеется версия для ОС Windows. 
См. в составе статьи BlackKingdom Ransomware >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 Added later: Write-up by BC
 Thanks: 
 Tatyana Shishkova, Arkbird, Sh33tos
 Andrew Ivanov (article author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *