DEcovid19 Ransomware
Covid19 Ransomware
Aliases: DeCovid19, BitchLock, Noputana, RapidRunDll
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные серверов с помощью AES+RSA, а затем требует выкуп в 0.15 BTC или больше, чтобы вернуть файлы. Оригинальное название: DEcovid19 (указано в контакте Telegram). На файле написано: noputana.exe, FTS.exe, noputana.exe, RunAsDll.exe или что-то еще.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33439 + Win32.HLLP.Neshta, Trojan.Encoder.33445
BitDefender ->Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Bulz.103956
Avira (no cloud) -> HEUR/AGEN.1128003, TR/Ransom.rdobz
ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E, A Variant Of MSIL/Filecoder.ACK
Kaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Generic.Malware/Suspicious, Trojan.Dropper
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/CobraLocker.DE!MTB
Rising -> Trojan.Generic@ML.94 (RDMK:f0J*, Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09AU21, Ransom_Gen.R002C0WB321
---
© Генеалогия: Rapid, Rapid NextGen >> DEcovid19, RapidRunDll
Изображение — логотип статьи
К зашифрованным файлам добавляются расширения:
.covid19
.locked
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записки с требованием выкупа называются:
!DECRYPT_FILES.txt
ATTENTION!!!.txt
I am the second wave of COVID19, now we infect even PCs. But unlike the human virus, there is a vaccine, but you have to buy it! =)
*
Attention!
Please read these important instructions.
All your content, files, photos, documents, databases, and other important files are encrypted.
All encrypted files have the extension: .covid19.
This is all very sad.
The only way to recover files is to buy a unique private key.
Only we can give you this key and only we can restore your files.
*
!!!!! For decryption, please contact us at Telegram messadger operator contact, follow the instructions below:
*
[1] - Install Telegram.
[2] - Telegram browser download link - > https://telegram.org/
[3] - send operator contact hxxxs://t.me/decovid19bot
[4] - enter your (Covid version) and (ID) in the subject line. And how many computers need to be decrypted. (Covid version) and (ID) at the bottom of the message.Attach 1-2 infected files that do not contain important information (less than 2 MB) necessary for generating the decoder and restoring the test file.
[5] - hurry up.Time is limited.Attention. (72 hours).
[6] - if you do not pay within 72 hours, the ransom for decryption will be doubled.
[7] - we don't bite. We are waiting for your emails.
*
[**] Covid Version : 700001
!!!If you contact a file decryption company, they usually trick you, they just write to us and negotiate a ransom. And you only pay them for what they wrote to us. Remember, only we can decrypt the files, and no one can help you! Don't waste your time trying to decipher it, it's impossible without our help. And in 72 hours, the ransom will become even more expensive.
The police won't help you either!
[ * ] Is the ID = .
BJMT2WF17TC***
Перевод 1-й записки на русский язык:
Я вторая волна COVID19, теперь мы заражаем даже ПК. Но в отличие от человеческого вируса, вакцина есть, но ее нужно купить! =)
*
Внимание!
Пожалуйста, прочтите эти важные инструкции.
Весь ваш контент, файлы, фото, документы, базы данных и другие важные файлы зашифрованы.
Все зашифрованные файлы имеют расширение: .covid19.
Это все очень печально.
Единственный способ восстановить файлы - это купить уникальный закрытый ключ.
Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.
*
!!!!! Для расшифровки свяжитесь с нами по контакту оператора мессенджера Telegram, следуя инструкциям ниже:
*
[1] - Установить Telegram.
[2] - Ссылка для скачивания браузера Telegram -> https://telegram.org/
[3] - отправить контакт оператора hxxxs://t.me/decovid19bot
[4] - введите свою (версию Covid) и (ID) в теме письма. И сколько компьютеров нужно расшифровать. (Версия Covid) и (ID) внизу сообщения. Прикрепите 1-2 зараженных файла, не содержащих важной информации (менее 2 МБ), необходимой для генерации декодера и восстановления тестового файла.
[5] - поторопитесь. Время ограничено. Внимание. (72 часа).
[6] - если вы не оплатите в течение 72 часов, выкуп за расшифровку будет удвоен.
[7] - не кусаемся. Ждем ваших писем.
*
[**] Версия Covid: 700001
!!! Если вы обратитесь в компанию по расшифровке файлов, они обычно обманывают вас, они просто пишут нам и договариваются о выкупе. И вы платите им только за то, что они нам написали. Помните, только мы можем расшифровать файлы, и никто не сможет вам помочь! Не тратьте время на его расшифровку, без нашей помощи это невозможно. А через 72 часа выкуп станет еще дороже.
Полиция тебе тоже не поможет!
[*] Это ID =.
BJMT2WF17TC ***
Содержание 2-й записки о выкупе:
You are unlucky. The terrible virus has captured your files.
For decryption, please contact us at
Telegram messadger operator contact hxxx://t.me/decovid19bot ,
Enter your ID in the subject line. And how many computers need to be decrypted.
Attach 1-2 infected files that do not contain importent information (less thet 2mb)
are required to generate the decoder and restore the test file.
Hurry up.Time is limited.Attention. (72 hours)
At the end of this time,the private key for generating
the decoder will de destroyed. Files will not be restored.
Your id: 370A3624-5C8C-481D-9E0D-358748663***
Перевод 2-й записки о выкупе:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!DECRYPT_FILES.txt - название 1-го файла с требованием выкупа;
ATTENTION!!!.txt - название 2-го файла с требованием выкупа;
Вам не повезло. Ужасный вирус захватил ваши файлы.
Для расшифровки свяжитесь с нами по адресу
Контакты оператора мессенджера Telegram hxxx://t.me/decovid19bot,
Введите свой ID в теме письма. И сколько компьютеров нужно расшифровать.
Прикрепите 1-2 зараженных файла, не содержащих важной информации (не более 2 МБ)
требуются для генерации декодера и восстановления тестового файла.
Поторопись. Время ограничено. Внимание. (72 часа)
По истечении этого времени закрытый ключ для генерации декодера будет уничтожен. Файлы не будут восстановлены.
Ваш id: 370A3624-5C8C-481D-9E0D-358748663***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
!DECRYPT_FILES.txt - название 1-го файла с требованием выкупа;
ATTENTION!!!.txt - название 2-го файла с требованием выкупа;
FTS.exe, noputana.exe, RunAsDll.exe - названия вредоносных файлов;
noputana.exe - название вредоносного файла;
svchost.com - название вредоносного файла;
local_enc_private_key;local_public_key_len;
userkey.dat - файл с ID;
!DECRYPT_FILES.txt.locked - в некоторых случаях шифруется даже собственный файл !DECRYPT_FILES.txt, но оставляется ATTENTION!!!.txt
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
O:\FileLocker-master\RunDll_4\obj\Debug\RunAsDll.pdb
Записи реестра, связанные с этим Ransomware:
Записи реестра, связанные с этим Ransomware:
HKU\S-1-5-21-***-1000\Software\Microsoft\Windows\CurrentVersion\Run\HelloAV
HKU\S-1-5-21-***-1000\Software\Microsoft\Windows\CurrentVersion\Run\WelcomeBack
HKU\S-1-5-21-***-1000\Software\EncryptKeys\local_enc_private_key
HKU\S-1-5-21-***-1000\Software\EncryptKeys\local_public_key_len
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Telegram: hxxx://t.me/decovid19bot
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Telegram: hxxx://t.me/decovid19bot
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
➤ Содержание записки:
Результаты анализов: IOS: VT, IA
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
ⴵ VMRay analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 22 февраля 2021:
Расширение: .bitchlock
Telegram: hxxx://t.me/iHELPdecodebot
Email: Cris_Horth@protonmail.com
Записка: !DECRYPT_FILES.txt
Don't worry, all files can be recovered.
*
Attention!
Please read these important instructions.
All your content, files, photos, documents, databases, and other important files are encrypted.
All encrypted files have the extension: .bitchlock
This is all very sad.
The only way to recover files is to buy a unique private key.
Only we can give you this key and only we can restore your files.
*
!!!!! For decryption, please contact us at Telegram messadger operator contact, follow the instructions below:
*
[1] - Install Telegram.
[2] - Telegram browser download link - > https://telegram.org/
[3] - send operator contact hxxx://t.me/iHELPdecodebot
[3.1] If you don't get a response right away, don't worry, the operator bot is not broken, messages are handled manually, it can take anywhere from 1 minute to 6 hours to respond due to time zone differences.
[4] - enter your (ID version) and (*ID PC) in the subject line. And how many computers need to be decrypted. (ID version) and (*ID PC) at the bottom of the message.Attach 1-2 infected files that do not contain important information (less than 2 MB) necessary for generating the decoder and restoring the test file.
[5] - hurry up.Time is limited.Attention. (72 hours).
[6] - if you do not pay within 72 hours, the ransom for decryption will be doubled.
[7] - we don't bite. We are waiting for your emails.
[8] - If you don't have Telegram, we have an Email for you at Cris_Horth@protonmail.com
!!!!! If you do not get an answer right away, do not worry because of the possible difference in time zones, the answer can take up to 12 hours.
*
!!!If you contact a file decryption company, they usually trick you, they just write to us and negotiate a ransom. And you only pay them for what they wrote to us. Remember, only we can decrypt the files, and no one can help you! Don't waste your time trying to decipher it, it's impossible without our help. And in 72 hours, the ransom will become even more expensive.
The police won't help you either!
[*] ID version : 7007007
[**] Your ID =ZVWM3CLMLY25DN
Вариант от 16 марта 2021:
Расширение: .lock
Имя файл меняется на случайные 10 символов в верхнем регистре, например: SPW5FPAZ41.lock
Записка: !!!_FILES_RECOVERY.txt
BTC: 3EPqX7yo8kkT9WTNwbnwwMkgxfR48eRRq4
Telegram: hxxx://t.me/decovid19bot
Файл: noputana.exe
Результаты анализов: IOS: VT, TG
MD5: bcd0cf45d8a8b16efc9970d3c02b93e7
Вариант от 4 мая 2021:
Расширение: .bumcoder
Записка: !DECRYPT_FILES.txt
Telegram: hxxx://t.me/iHELPdecodebot
Email: Cris_Horth@protonmail.com
Вариант от 22 июня 2021:
Файлы можно расшифровать, обращайтесь к Майклу по ссылке >>
Расширение: .snoopdog
Записка: !DECRYPT_FILES.txt
Telegram: @SENDMYiDbot
Tor-URL: contactya3ry35pb.onion
Мьютекс: ZASKRINILPIDORAS
Результаты анализов: IOS: VT, IA
MD5: d9589a925b3d963c4861ce95e6ec653f
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34070
BitDefender -> Gen:Trojan.Heur.GZ.gqW@bCv8gdj
ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E
Вариант от 27 июня 2021:
Записка: !DECRYPT_FILES.txt
Расширение зашифрованных файлов меняется на .jpg
Оригинальные названия файлов переименовываются.
Jabber: otp_crypte@exploit.im
Email: otpcrypte@protonmail.com
MD5: b8cdac3c9c1d7f00ee659d0ee365c5d7
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34090
BitDefender -> Generic.Ransom.Rapid2.82931C8C
ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E
Microsoft -> Trojan:Win32/Wacatac.B!ml
TrendMicro -> TrojanSpy.Win32.RAPID.USMANFS21
Вариант от 5 августа 2021:
Записка: !DECRYPT_FILES.txt
Расширение зашифрованных файлов меняется на .jpg
Оригинальные названия файлов переименовываются.
Jabber: otp_crypte@exploit.im
Email: systems32x@gmail.com
Результаты анализов: IOS: VT, HA
MD5: 35d152ed15b3843fb2ef68e5d02eebe5
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно расшифровать!
Для этого пишите в тему поддержки >>
Attention! Encrypted files can be decrypted!
Get personal decrypt in the Support Topic >>Read to links: myMessage + Message + Message ID Ransomware (ID as DEcovid19, RapidRunDll) Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author), S!Ri Michael Gillespie to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
