Если вы не видите здесь изображений, то используйте VPN.

понедельник, 4 января 2021 г.

Parasite

Parasite Ransomware

Aliases: SharpCrypter, Paralock

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 + RSA, а затем требует выкуп в 0.005-0.006 BTC, чтобы вернуть файлы. Оригинальное название: Parasite. На файле написано: Adobe Reader.exe. Язык программирования: C Sharp (C#). В течение первого месяца распространения несколько раз модифицировался. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.11, Trojan.EncoderNET.31371, Trojan.InjectNET.17
BitDefender -> Trojan.GenericKD.36013647, Generic.Ransom.HydraCrypt.93B1B43A
Avira (no cloud) -> TR/Ransom.Agent.nvgea, TR/Ransom.uuodh
ESET-NOD32 -> A Variant Of Generik.GITSGJW, A Variant Of MSIL/Filecoder.AFI
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor, Trojan.Crypt.Generic
Microsoft -> Ransom:MSIL/SharpCrypter.PA!MTB
Rising -> Ransom.Parasite!8.12369 (CLOUD)
Symantec -> Trojan.Gen.2, ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Wqmo, Msil.Trojan.Encoder.Eex
TrendMicro -> Ransom.MSIL.SHARPCRYPTER.A, Ransom.MSIL.FILELOCK.SM
---

© Генеалогия: безымянные варианты из 2020 г. >> Parasite (
SharpCrypter) > более новые варианты

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .parasite


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ранние варианты работали с ошибками и не шифровали файлы, потом это было исправлено. Ориентирован на англоязычных и французских пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: @READ_ME_FILE_ENCRYPTED@.html


Содержание записки о выкупе:
Your ID is: 42krc1sbp/vz0AZib35A!A***
All your files are encrypted !
Hello! All your files have been encrypted using RSA-2048 and RC4 encryption algorithm. You can learn about cryptography and encryption algorithm here RSA-2048 (Wikipedia) and RC4 (Wikipedia)
That's why your files are no longer readable.
It means that the contents of your files have been changed and you can't use them as before. It is like loosing your files forever.
How can I recover my files ?
If you understand the importance of the situation, Then you can ask for the decryption of your files.
To decrypt your files, you need to purchase your private key.
The price can change every day so don't waste your time ! You can ask for the payement (in bitcoin) by email: parasiteCIPH@tutanota.com
Please specify your ID in the subject of your message.
Once you paid, you will receive your key and the decryption tool.
How can I buy bitcoins ?
To buy bitcoins, you can follow these links:
https://localbitcoins.com
https://bitcoin.org
https://www.bitcoin.com
https://www.coinbase.com
You can learn more about the bitcoins here
Should I trust you ?
Yes, you can trust us.
Our mission is to decrypt your files. You pay, we help.
Remember that if you don't want to pay you will not be able to get you files back.
Attention !
Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you most often they are scammers.
Please, do not try to rename encrypted files.
If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
Our goal is to return your data, but if you don't contact us, we will not succeed.

Перевод записки на русский язык:
Ваш ID: 42krc1sbp / vz0AZib35A! A ***
Все ваши файлы зашифрованы!
Привет! Все ваши файлы зашифрованы с алгоритмами шифрования RSA-2048 и RC4. Вы можете узнать о криптографии и алгоритме шифрования здесь RSA-2048 (Википедия) и RC4 (Википедия)
Вот почему ваши файлы больше не читаются.
Это значит, что содержимое ваших файлов было изменено, и вы не сможете использовать их, как раньше. Это похоже на потерю файлов навсегда.
Как я могу восстановить свои файлы?
Если вы понимаете важность ситуации, то можете попросить расшифровать ваши файлы.
Чтобы расшифровать файлы, вам надо приобрести закрытый ключ.
Цена может меняться каждый день, не тратьте время зря! Вы можете запросить платеж (в биткойнах) по email: parasiteCIPH@tutanota.com
Пожалуйста, укажите свой ID в теме сообщения.
После оплаты вы получите ключ и инструмент для расшифровки.
Как я могу купить биткойны?
Чтобы купить биткойны, вы можете перейти по этим ссылкам:
https://localbitcoins.com
https://bitcoin.org
https://www.bitcoin.com
https://www.coinbase.com
Вы можете узнать больше о биткойнах здесь
Должен ли я вам доверять?
Да, вы можете нам доверять.
Наша миссия - расшифровать ваши файлы. Вы платите, мы помогаем.
Помните, что если вы не хотите платить, вы не сможете вернуть свои файлы.
Внимание!
Только общение по email может гарантировать вам восстановление файла. Мы не несем ответственности за действия третьих лиц, которые обещают вам помочь, но чаще всего являются мошенниками.
Пожалуйста, не переименовывайте зашифрованные файлы.
Если хотите убедиться, что невозможно восстановить файлы с помощью сторонних программ, делайте это не для всех файлов, иначе вы можете потерять все данные.
Наша цель - вернуть ваши данные, но если вы не свяжетесь с нами, мы не сможем помочь.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Схема запуска и поведения (см. целиком в отчёте AnyRun)


➤ Удаляет теневые окпии файлов
, используя команду:
vssadmin.exe  delete shadows /all /quiet

➤ После выполнения своих задач самоудаляется, используя команду:
choice  /C Y /N /D Y /T 1 & Del 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
x65454.pdb - оригинальное название проекта
@READ_ME_FILE_ENCRYPTED@.html - название файла с требованием выкупа
<random>.exe - временные файлы с разным названием
Adobe Reader.exe - название вредоносного файла
Adobe Reader.pdb - название файла проекта
Использует файлы с названием легитимных файлов Windows и различных приложений: TaskHost.exe, Adobe Reader.exe и другие. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
E:\@56\x65454\x65454\x65454\obj\Debug\x65454.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: parasiteCIPH@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 января 2021:
Видимо тот же вариант. 
Email: parasiteCIPH@tutanota.com
Файл: 98561.exe
Результаты анализов: VT + IA + HA


Вариант от 1 февраля 2021: 
Самоназвание в заголовке экрана: CryptoLocker
Расширение: .betarasite
Email: в тексте не указан. 
Файл: X.exe
Результаты анализов: VT + AR + JSB / VT + ARIA + JSB + HA
➤ Обнаружения: 
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tztsb
BitDefender -> Gen:Variant.Razy.559943
DrWeb -> Trojan.MulDrop11.26182, TR/Ransom.qzqjq
ESET-NOD32 -> A Variant Of MSIL/Agent.TET
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/FileCoder!MTB
Qihoo-360 -> Win32/Ransom.Filecoder.HwM*
Rising -> Ransom.Agent!1.D220 (CLOUD)
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Egnw, Msil.Trojan.Encoder.Aosw
TrendMicro -> Ransom_FileCoder.R002C0DB121
---
 





Вариант от 9 февраля 2021:
Расширение: .paras1te
Записка: info.hta
Email: parasite@cock.li, para5ite@tutanota.com
Файл: speedo.exe
Результаты анализов: VT + AR + IA + TG / VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.InjectNET.17
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tkpny
BitDefender -> Gen:Variant.Razy.685068
ESET-NOD32 -> A Variant Of MSIL/Kryptik.YDU
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Paradise
Microsoft -> Trojan:Win32/Ymacco.AA1B
Qihoo-360 -> Win32/Ransom.Encoder.HwMAKqAA
Rising -> Exploit.Uacbypass!1.C9A2 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Aihr
TrendMicro -> Ransom_Encoder.R002C0PB921
---

 

➤ Содержание записки: 
🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email parasite@cock.li, specify in the subject your unique identifier 13W95 and you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at para5ite@tutanota.com
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 12 февраля 2021: 
Расширение: .paralock
Email: paracrypt@cock.li, p4r4l0ck@tutanota.com
Записка: info.hta
Файл: 有和人这中大为上个国.exe
Результаты анализов: VT + AR + TG + IA
➤ Обнаружения: 
Avira (no cloud) -> TR/Dropper.MSIL.Gen
BitDefender -> Gen:Variant.Razy.559943
DrWeb -> Trojan.MulDrop11.26182
ESET-NOD32 -> A Variant Of MSIL/Agent.TET
Malwarebytes -> Generic.Malware/Suspicious
Qihoo-360 -> Trojan.Generic
Rising -> Exploit.Uacbypass!1.C9A2 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hnbj
TrendMicro -> Ransom_FileCoder.R002C0DBC21
---

 

 Содержание записки: 
🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email paracrypt@cock.li, specify in the subject your unique identifier J1ZED1AM and you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at p4r4l0ck@tutanota.com
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 13 февраля 2021: 
Расширение: .arazite
Записка: info.hta
Email: parazite@tutanota.com, alcmalcolm@cock.li 
Файл: $.exe
Результаты анализов: VT + AR + TG + IA / VT + AR
➤ Обнаружения: 
Avira (no cloud)TR/Dropper.MSIL.Gen
BitDefenderGen:Variant.Razy.685068
DrWebTrojan.InjectNET.17
ESET-NOD32A Variant Of MSIL/Kryptik.YDU
MicrosoftTrojan:Win32/Wacatac.B!ml
Qihoo-360HEUR/QVM03.0.426B.Malware.Gen
RisingExploit.Uacbypass!1.C9A2 (CLASSIC)
---
 

🔒 ALL YOUR DATA TURNED TO USELESS BINARY CODE 🔒
Your computer is infected with a virus.
Send an email parazite@tutanota.com, specify in the subject your unique identifier ZKGQFGVW and 
you will definitly be helped to recover.
NOTE:
You can send 2 files as proof that we can return all your data.
If the provided email doesn't work, please contact us at alcmalcolm@cock.li
Algorithms used are AES and RSA. 
IMPORTANT:
1. The infection was due to vulnerabilities in your software.
2. If you want to make sure that it is impossible to recover files using third-party software, do this 
not on all files, otherwise you may lose all data.
3. Only communication through our email can guarantee file recover for you. We are not responsible 
for the actions of third parties who promise to help you - most often they are scammers.
4. Please, do not try to rename encrypted files.
5. Our goal is to return your data, but if you don't contact us, we will not succeed.


Вариант от 1 марта 2021 / Возможно относится к Crypt3r Ransomware
Расширение-1: .vjiszy1lo
Расширение-2: .vjiszy1lo.1lo_decryptkey.vjiszy1lo
Расширение с повтором: .vjiszy1lo.1lo_decryptkey.vjiszy1lo.1lo_decryptkey.vjiszy1lo 
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: shadowghosts@tutanota.com, fortihooks@protonmail.com



➤ Содержание записки: 
==================================================
YOUR ID : {2e8d8b9a-affa-4b20-ad9d-25302f64cb55}
++++++++++++++++++++++++++++++++++++++++++++++++++
OOPS! YOUR IMPORTANT F1LES HAS BEEN ENC:(RYPTED !!!
DO NOT WORRY! FILES ARE SAFE! JUST MODIFIED ONLY. (RSA + AES)
++++++++++++++++++++++++++++++++++++++++++++++++++
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY
SOFTWARE WILL PERMENANTLY DESTORY YOUR FILE !!!
NO SOFTWARE AVALIABLE ON INTERNET CAN HELP YOU!
ONLY WE HAVE SOLUTION TO YOUR PROBLEM.
WE ONLY SEEK MONEY AND DO NOT WANT TO DAMAGE YOUR REPUTATION.
----------------------------------------------------------------
YOU NEED TO PAY 2.0 BITCOINS TO OUT ACCOUNT, AFTER THE PAYMENT
IS CONFIRMED, WE WILL IMMEDIATELY DELETE ALL OF YOUR FILES ON
OUR SERVER AND SEND THE DECRYPTION PROGRAM AND PRIVATE KEY TO YOU.
IF YOU DECIDE TO NOT PAY OR THERE IS NO PAYMENT WITHIN 7-DAYS,
WE WILL DELETE THE DECRYPTION KEY FROM OUT DATABASE, AND SOME 
OF YOUR IMPORTANT DATA WILL BE RELEASE TO PUBLIC OR RE-SELL!
DO NOT KNOW HOW TO BUY BITCOIN ? JUST GOOGLE IT:)
----------------------------------------------------------------
CONTACT US FOR PAYMENT CONFIRMTION AND GET DECRYPTION SOFTWARE :
shadowghosts@tutanota.com
fortihooks@protonmail.com (IF NO ANSWER WITHIN 24-HOURS)
==================================================
---
Файл: SchoolPrject1.exe
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31371
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vbfqb
BitDefender -> Generic.Ransom.HydraCrypt.9A3E2D9A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AFI
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.KillFiles
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Anql
TrendMicro -> Ransom_RAMSIL.SM


Вариант от 3 марта 2021:
Расширение: .RansomTrojanLock
Записка: ___RECOVER__FILES__.RansomTrojanLock.txt
Результаты анализов: VT + IA
 Обнаружения: 
DrWeb -> Trojan.EncoderNET.31373
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Disabler.BX
Microsoft -> Ransom:MSIL/LockCrypt.PA!MTB
Rising -> Ransom.DaddyCrypt!1.D2A1 (CLOUD)
Tencent -> Msil.Trojan.Diztakun.Dzao


Вариант от 14 марта 2021 / Возможно относится к Crypt3r Ransomware
Расширение: .jpghosts
Записки: HOW_CAN_GET_FILES_BACK.rtf, HOW_CAN_GET_FILES_BACK.txt
Файл: Ghost.exe
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33817, Trojan.Encoder.33818
BitDefenderTrojan.GenericKD.45914521, Trojan.GenericKD.45940669
ESET-NOD32MSIL/Filecoder.AGT
MalwarebytesRansom.Parasite
MicrosoftTrojanDownloader:O97M/Obfuse.TB!MTB
RisingRansom.Agentb!8.1139A (CLOUD)
SymantecTrojan Horse
TencentMsil.Trojan.Agentb.Lned
TrendMicroRansom.Win32.GHOST.ZTIC


Вариант от 17 марта 2020 / Возможно относится к Crypt3r Ransomware
Кроме того используется название: Ghost. 
Расширение: .phantom
Записка: HOW_CAN_GET_FILES_BACK.txt
Email: rsaecho@tutanota.com, shadowghosts@tutanota.com

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Parasite)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Petrovic, 0x4143, Michael Gillespie
 Andrew Ivanov (article author)
 Fabian Wosar
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *