Если вы не видите здесь изображений, то используйте VPN.

среда, 13 января 2021 г.

NAS Data Compromiser

NAS_Data_Compromiser Ransomware

NAS Data Compromiser Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или как-то иначе модифицирует данные на NAS-устройствах и сетевых хранилищах, а затем требует выкуп в 0.01 - 0.02 BTC или более, чтобы вернуть файлы. Оригинальное название: в записке не указано. Вымогатели действуют из Румынии. Регистрируют легальную IT- или Recovery- компанию, службу удаленной помощи или разработку ПО на заказ, и под их вывеской занимаются различным компьютерным вымогательством. Такой "бизнес" распространен в Румынии повсеместно. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: ??? >> NAS_Data_Compromiser

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aes или любое другое, вполне безобидное. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2020 - начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый пострадавший, который сообщил об атаке, был из Турции. 

Записка с требованием выкупа называется: READ ME.txt


Содержание записки о выкупе: 
HELLO!
YOUR REMOTE STORAGE WAS COMPROMISED. 
ALL YOUR FILES AND FOLDERS WERE ENRCYPTED AND HIDDEN.
IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.02 BITCOIN TO THIS BITCOIN WALLET:
1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
YOU HAVE UNTIL THE 15th OF JANUARY 2021 TO MAKE THE PAYMENT.
AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.
YOUR UNIQUE ID IS: xxx.xx.xx.xxx
PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: 
filerecovery@mail2save.com
AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.
ATTENTION !!!
DO NOT DELETE ANY FILES ON YOUR DRIVE.
DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.
DO NOT FORMAT, DELETE THE VOLUME OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.
This is NOT a BOT
THANK YOU FOR YOUR COOPERATION.
Data Security

Перевод записки на русский язык: 
Привет!
Ваше удаленное хранилище было взломано.
Все ваши файлы и папки зашифрованы и скрыты.
Если вы хотите восстановить свои файлы, вы должны отправить 0,02 биткойна на этот биткойн-кошелек:
1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
Вы должны произвести оплату до 15 января 2021 года.
После этого восстановить ваши данные будет практически невозможно.
Ваш уникальный ID: xxx.xx.xx.xxx
Отправьте нам свой ID и подтверждение платежа по email на адрес:
filerecovery@mail2save.com
После подтверждения оплаты вы получите инструкции, как восстановить все ваши файлы.
Внимание !!!
Не удаляйте файлы на вашем диске.
Не пытайтесь восстановить ваши данные с помощью какой-то программы. Это навсегда повредит данные.
Не форматируйте, не удаляйте том и не записывайте данные на диск. Это навсегда повредит данные.
Это не бот
Спасибо за сотрудничество.
Безопасность данных



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
_bca3 - файл, найденный на NAS-устройстве (около 72 Мб);
lopiy4356rs23fh8o745r67ds23a - файл, найденный на NAS-устройстве (около 100 Мб).

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: filerecovery@mail2save.com
BTC: 1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 декабря 2021 или раньше:
Сообщение на форуме >>
Расширение: .aes
Записка: READ ME.txt
Email: secur_it@zohomail.eu
BTC: 1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz


➤ Содержание записки: 
HELLO!
YOUR REMOTE STORAGE WAS COMPROMISED. 
ALL YOUR FILES AND FOLDERS HAVE BEEN ENRCYPTED AND HIDDEN.
IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.01 BITCOIN TO THIS BITCOIN WALLET:
1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz
YOU HAVE UNTIL THE 30th of OCTOBER 2021 TO MAKE THE PAYMENT.
AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.
YOUR UNIQUE ID IS: xxx.xxx.xxx.xx
PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: 
secur_it@zohomail.eu
AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.
ATTENTION !!!
DO NOT DELETE ANY FILES ON YOUR DRIVE.
DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.
DO NOT FORMAT, ADD OR DELETE VOLUMES OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.
This is NOT a BOT
THANK YOU FOR YOUR COOPERATION.
Data Security.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as NAS Data Compromiser)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *