NAS_Data_Compromiser Ransomware
NAS Data Compromiser Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или как-то иначе модифицирует данные на NAS-устройствах и сетевых хранилищах, а затем требует выкуп в 0.01 - 0.02 BTC или более, чтобы вернуть файлы. Оригинальное название: в записке не указано. Вымогатели действуют из Румынии. Регистрируют легальную IT- или Recovery- компанию, службу удаленной помощи или разработку ПО на заказ, и под их вывеской занимаются различным компьютерным вымогательством. Такой "бизнес" распространен в Румынии повсеместно.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: ??? >> NAS_Data_Compromiser
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .aes или любое другое, вполне безобидное.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец декабря 2020 - начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первый пострадавший, который сообщил об атаке, был из Турции.
Записка с требованием выкупа называется: READ ME.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
HELLO!
YOUR REMOTE STORAGE WAS COMPROMISED.
ALL YOUR FILES AND FOLDERS WERE ENRCYPTED AND HIDDEN.
IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.02 BITCOIN TO THIS BITCOIN WALLET:
1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
YOU HAVE UNTIL THE 15th OF JANUARY 2021 TO MAKE THE PAYMENT.
AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.
YOUR UNIQUE ID IS: xxx.xx.xx.xxx
PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO:
filerecovery@mail2save.com
AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.
ATTENTION !!!
DO NOT DELETE ANY FILES ON YOUR DRIVE.
DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.
DO NOT FORMAT, DELETE THE VOLUME OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.
This is NOT a BOT
THANK YOU FOR YOUR COOPERATION.
Data Security
Перевод записки на русский язык:
Привет!
Ваше удаленное хранилище было взломано.
Все ваши файлы и папки зашифрованы и скрыты.
Если вы хотите восстановить свои файлы, вы должны отправить 0,02 биткойна на этот биткойн-кошелек:
1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
Вы должны произвести оплату до 15 января 2021 года.
После этого восстановить ваши данные будет практически невозможно.
Ваш уникальный ID: xxx.xx.xx.xxx
Отправьте нам свой ID и подтверждение платежа по email на адрес:
filerecovery@mail2save.com
После подтверждения оплаты вы получите инструкции, как восстановить все ваши файлы.
Внимание !!!
Не удаляйте файлы на вашем диске.
Не пытайтесь восстановить ваши данные с помощью какой-то программы. Это навсегда повредит данные.
Не форматируйте, не удаляйте том и не записывайте данные на диск. Это навсегда повредит данные.
Это не бот
Спасибо за сотрудничество.
Безопасность данных
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ ME.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;
_bca3 - файл, найденный на NAS-устройстве (около 72 Мб);
lopiy4356rs23fh8o745r67ds23a - файл, найденный на NAS-устройстве (около 100 Мб).
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: filerecovery@mail2save.com
BTC: 1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Вариант от 23 декабря 2021 или раньше:
Сообщение на форуме >>
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: filerecovery@mail2save.com
BTC: 1KKDJw9598bDhstonyTcf8zbmtfyQnHCtY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Сообщение на форуме >>
Расширение: .aes
Записка: READ ME.txt
➤ Содержание записки:
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
HELLO!
YOUR REMOTE STORAGE WAS COMPROMISED.
ALL YOUR FILES AND FOLDERS HAVE BEEN ENRCYPTED AND HIDDEN.
IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.01 BITCOIN TO THIS BITCOIN WALLET:
1LwTujzoFf9WcVSYUNBzXgruYZxrRT3nz
YOU HAVE UNTIL THE 30th of OCTOBER 2021 TO MAKE THE PAYMENT.
AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.
YOUR UNIQUE ID IS: xxx.xxx.xxx.xx
PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO:
secur_it@zohomail.eu
AFTER THE PAYMENT CONFIRMATION YOU WILL RECEIVE INSTRUCTIONS ON HOW TO RECOVER ALL YOUR FILES BACK.
ATTENTION !!!
DO NOT DELETE ANY FILES ON YOUR DRIVE.
DO NOT TRY TO RECOVER YOUR DATA USING ANY SOFTWARE. IT WILL RESULT IN PERMANENT DATA LOSS.
DO NOT FORMAT, ADD OR DELETE VOLUMES OR WRITE DATA TO THE DISK. IT MAY RESULT IN PERMANENET DATA LOSS.
This is NOT a BOT
THANK YOU FOR YOUR COOPERATION.
Data Security.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message ID Ransomware (ID as NAS Data Compromiser) Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) Michael Gillespie *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
