Lucy Ransomware
Lucy Mobile Ransomware
(шифровальщик-вымогатель для Android) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные на мобильных устройствах с помощью AES, а затем требует выкуп выкуп в $200 через карту OneVanilla, чтобы расшифровать файлы. Предназначен только для Android-устройств.
---
Обнаружения:
Avast-Mobile -> APK:Locker [Trj]
BitDefenderFalx -> Android.Trojan.Botnet.F
DrWeb -> Android.BankBot.787.origin
ESET-NOD32 -> A Variant Of Android/Spy.Banker.AKI
Fortinet -> Android/Banker.AKI!tr
MaxSecure -> Android.fakeinst.a
Qihoo-360 -> Trojan.Android.Gen
Sophos -> Andr/SLocker-CZ
Symantec -> Trojan.Gen.2
Tencent -> Dos.Backdoor.Lucbot.Hsiy
ZoneAlarm by Check Point -> HEUR:Backdoor.AndroidOS.Lucbot.e
---© Генеалогия: Удобная ниша (CNAM) >> Lucy 2017 > Lucy 2021
CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств.
Я придумал этот термин, чтобы в культурной форме назвать это злачное место.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .Lucy
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Скриншоты: экран блокировки, ввод данных, зашифрованные файлы.
Содержание записки о выкупе:
Перевод записки на русский язык:
ДЕПАРТАМЕНТ ПРАВОСУДИЯ
DEPARTMENT OF JUSTICE
FEDERAL BUREAU OF INVESTIGATION
FBI HEADQUARTERS
WASHINGTON DC DEPARTMENT, USA
AS A RESULT OF FULL SCANNING OF YOUR DEVICE, SOME SUSPICIOUS FILES HAVE BEEN FOUND AND YOUR ATTENDANCE OF THE FORBIDDEN PORNOGRAPHIC SITES HAS BEEN FIXED. FOR THIS REASON YOUR DEVICE HAS BEEN LOCKED AND DATA ENCRYPTED. INFORMATION ON YOUR LOCATION AND SNAPSHOTS CONTAINING YOUR FACE HAVE BEEN UPLOADED ON THE FBI CYBER CRIME DEPARTMENTS DATACENTER.
FIRST OF ALL, FAMILIARISE WITH THE POSI-
---
WHERE BUY PAY FINE INFO
Перевод записки на русский язык:
ДЕПАРТАМЕНТ ПРАВОСУДИЯ
ФЕДЕРАЛЬНОЕ БЮРО РАССЛЕДОВАНИЙ
ШТАБ-КВАРТИРА ФБР ВАШИНГТОН,
ОКРУГ КОЛУМБИЯ, США
В РЕЗУЛЬТАТЕ ПОЛНОГО СКАНИРОВАНИЯ ВАШЕГО УСТРОЙСТВА БЫЛИ НАЙДЕНЫ НЕКОТОРЫЕ ПОДОЗРИТЕЛЬНЫЕ ФАЙЛЫ И ЗАФИКСИРОВАНО ВАШЕ ПРИСУТСТВИЕ НА ЗАПРЕЩЕННЫХ ПОРНОСАЙТАХ. ПО ЭТОЙ ПРИЧИНЕ ВАШ УСТРОЙСТВО БЛОКИРОВАНО, ДАННЫЕ ЗАШИФРОВАНЫ. ИНФОРМАЦИЯ О ВАШЕМ МЕСТОНАХОЖДЕНИИ И СНИМКИ С ВАШИМ ЛИЦОМ БЫЛИ ЗАГРУЖЕНЫ В ЦЕНТР ДАННЫХ ОТДЕЛА КИБЕРПРЕСТУПНОСТИ, ФБР.
СНАЧАЛА ОЗНАКОМЬТЕСЬ С ПОЛОЖЕНИЕМ -
---
ГДЕ КУПИТЬ ОПЛАТИТЬ ШТРАФ ИНФО
Еще одно сообщение:
ATTENTION!
To view this video, please turn on "18+ AGE PHONE CHILDREN GUARD" in phone settings. * Because video contains adult content
OK
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
все популярные форматы файлов.
Это документы могут быть файлы документов, PDF, текстовые файлы, фотографии, музыка, видео и пр.
Главной целью являются не файлы на мобильных устройствах, а данные карт пользователей, которые вымогатели просто украдут.
Проверяет страну пользователя по списку:
ru - Россия
az - Азербайджан
by - Беларусь
kz - Казахстан
kg - Киргизия
md - Молдова
tj - Таджикистан
tm - Туркменистан
uz - Узбекистан
ua - Украина
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
app-release.apk - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Lucy Mobile Ransomware - 2017
Lucy Mobile Ransomware - 2021
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Lukas Stefanko, MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
