воскресенье, 28 февраля 2021 г.

TheWarehouse

TheWarehouse Ransomware

(шифровальщик-вымогатель, стиратель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: TheWarehouse (
github.com) >> TheWarehouse Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется настраиваемое расширение.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце февраля - начале марта 2021 г. Исходники опубликованы на GitHub два года назад. Кто-то воспользовался ими для создания программы-вымогателя. На момент написания статьи ничего не было известно о распространении. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 


Содержание записки о выкупе:
Your important files have been encrypted!
Most of your files are no longer accessible or usable due to them being encrypted. You are probably searching for a way to recover them, but do not waste your time. You can only recover your files with our decryption service.
To decrypt all of your files, you will have to pay for a password. Take note that every hour, a random amount of your files will be deleted, from random directories on your computer. If you value these files, pay the needed amount and decrypt these files.
Payments are accepted only in BTC to the address below (BTC Price: 300$). Beware, you only have some time left before all your files get deleted.
After the time goes out, this tool will proceed to destroy and corrupt all of the necessary files needed for the computer to run, hence bricking your computer and making it useless.
BTC Address: 
1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
[Encrypt] [Decrypt]

Перевод записки на русский язык:
Ваши важные файлы зашифрованы!
Многие ваши файлы теперь недоступны или непригодны, т.к. они зашифрованы. Вы, вероятно, хотите восстановить их, но не тратьте зря время. Вы можете вернуть свои файлы только с помощью нашей службы дешифрования.
Для расшифровки всех файлов вам придется заплатить за пароль. Заметьте, что каждый час случайное количество ваших файлов будет удаляться из случайных папок на вашем компьютере. Если ваши файлы важны, заплатите нужную сумму и расшифруйте эти файлы.
Платежи принимаются только в BTC на адрес, указанный ниже (BTC цена: 300$). Осторожно, у вас мало времени, прежде чем все ваши файлы будут удалены.
По истечении времени этот инструмент продолжит уничтожение и повреждение всех файлов, нужных для работы компьютера, тем самым блокируя ваш компьютер и делая его бесполезным.
Адрес BTC:
1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
[Encrypt] [Decrypt]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
TheWarehouse.exe - название вредоносного файла; 
TheWarehouse.pdb - оригинальное название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\gigaz\Downloads\TheWarehouse-master\TheWarehouse-master\TheWarehouse2\obj\Debug\TheWarehouse.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: github.com/TheSynt4x/TheWarehouse
Email: - 
BTC: 1CFJqTYi75eiUnEqUoHP2py9x7qphGpMHZ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis: 3729FEA74EC3A3081A1EE7E92BA2BB64
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 18 февраля 2021 г.

Pay2Decrypt

Pay2Decrypt Ransomware

Aliases: BatFilecoder, BleachGap, RenderGraphics, LeakGap, Humble, Onim

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0002 BTC, чтобы вернуть файлы. Оригинальное название: Pay2Decrypt. Написан на AutoIt. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33479, Trojan.Encoder.33489, Trojan.Encoder.33569, Trojan.Encoder.33680
BitDefender -> Dropped:Trojan.GenericKD.45329011
ALYac -> Trojan.Ransom.Filecoder
ESET-NOD32 -> A Variant Of Generik.NTEPZQT, BAT/Filecoder.DT, BAT/Filecoder.DR
Ikarus -> Trojan-Ransom.FileCrypter
Jiangmin -> Trojan.PowerShell.ev
Kaspersky -> HEUR:Trojan-Downloader.BAT.Generic
Malwarebytes -> Ransom.FileCryptor, Ransom.BleachGap
Microsoft -> Ransom:Win32/Filecoder.PAA!MTB
Rising -> Ransom.Filecoder!8.55A8 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Bat.Trojan-downloader.Generic.Chn, Bat.Trojan-downloader.Generic.Pdwb
TrendMicro -> Ransom.Win32.MENOPE.THBAGBA, Ransom_Filecoder.R002C0DBI21
---

© Генеалогия: неизвестная разработка 2018 года >> Pay2Decrypt > более новые варианты (в этой статье)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lck
Может шифровать файлы и добавлять к ним это расширение несколько раз.
 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на началу - середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Один из ранних вариантов (14-15 февраля) не содержал контактов и адреса кошелька для уплаты выкупа, поэтому добавлен только после основной статьи. 

Записки с требованием выкупа называются одинаково, но имеют порядковые номера от 1 до 100: 
Pay2Decrypt1.txt
Pay2Decrypt2.txt
***
Pay2Decrypt100.txt


Содержание записки о выкупе:
DONT TRY TO REBOOT, YOUR FILES ARE ENCRYPTED AND MBR OVERWRITTEN
PAY 0.0002 BTC IN 4JhPxp6KylbSeVnOA1Nr2BeT5ZXYNxGe7jhyQ3
SEND US AN EMAIL TO NK125@S0NY.NET WITH THIS KEY:P1Cf1syaijhNsFjkC9sH2O7hgvRiq4ZGTFaHs4eZoJas
YOU HAVE TODAY (Thu 02/18/2021) TO PAY, IF YOU TRY TO REBOOT ONLY YOU LOST ALL YOUR FILES

Перевод записки на русский язык:
НЕ ПЕРЕЗАГРУЖАЙТЕСЬ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, А MBR ПЕРЕЗАПИСАН
ПЛАТИТЕ 0.0002 BTC НА 4JHPXP6KYLBSEVNOA1NR2BET5ZXYNXGE7JHYQ3
ПИШИТЕ НА EMAIL NK125@S0NY.NET С ЭТИМ КЛЮЧОМ: P1Cf1syaijhNsFjkC9sH2O7hgvRiq4ZGTFaHs4eZoJas
У ВАС ЕСТЬ СЕГОДНЯ (ЧТ, 18.02.2021) ДЛЯ ОПЛАТЫ, ЕСЛИ ВЫ  ПЕРЕЗАГРУЗИТЕСЬ, ПОТЕРЯЕТЕ ВСЕ СВОИ ФАЙЛЫ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Деструктивные функции: 
Обходит защиту UAC. 
Отключает инструменты базопасности.
Модифицирует ключи реестра. 
Удаляет теневые копии файлов. 
Завершает работу браузеров (Chrome, Firefox).

➤ Использует утилиту ps2exe и PowerShell (в составе Windows) для того, чтобы скопилировать скрипт в исполняемый файл и запустить его с административными правами на выполнение. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, исполняемые и установочные файлы программ и пр.

Файлы, связанные с этим Ransomware:
Pay2Decrypt1.txt, Pay2Decrypt2.txt ... Pay2Decrypt100.txt - названия файлов с требованием выкупа; 
RenderGraphics.exe - название распространяемого вредоносного файла; 
aescrypt.exe - название вредоносного файла, который выполняет шифрование; 
ransom.exe, BleachGap.exe - вредоносный файл; 
extd.exe - название вредоносного файла; 
final.exe - название вредоносного файла; 
leakgap.exe - название вредоносного файла; 
6A82.bat - командный файл вымогателя; 
kill.bat - командный файл вымогателя; 
p2d.bat - командный файл вымогателя; 
<random>.exe - случайное название вредоносного файла;
DiscordSendWebhook.exe - программа для отправки сообщений в Discord через командный файл, подбрасывается вымогателем;
Gameover.exe - еще один файл, который подбрасывается вымогателем;
и другие файлы.  

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\2AA9.tmp\2AAA.tmp\extd.exe
C:\Users\User\AppData\Local\Temp\CDB.tmp\CDC.tmp\CDD.bat 
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RenderGraphics.exe
C:\Users\Admin\AppData\Local\Temp\final.exe
C:\Users\User\AppData\Local\Temp\CDB.tmp\DiscordSendWebhook.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: NK125@S0NY.NET
BTC: 4JhPxp6KylbSeVnOA1Nr2BeT5ZXYNxGe7jhyQ3 - кажется недействительным
Malware URL: xxxxs://cdn-35.anonfiles.com/9821W1G5p3/8a0b1f8a-1613613819/gameover.exe
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предварительная разработка от 9 октября 2020:
Самоназвание: MBR - Note Builder
Файл: MBR_Note_Builder.exe
Результаты анализов: VT + AR

Предварительная разработка от 21 января 2021:
Файл: gameover.exe (KillMBR)
Malware-URL: xxxxs://cdn-115.anonfiles.com/9821W1G5p3/542b7e19-1612884386/gameover.exe
Результаты анализов: VT + AR

Ранний вариант от 31 января 2021: 
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33569
BitDefender -> Dropped:Trojan.GenericKD.45329011
ESET-NOD32 -> BAT/Filecoder.DR
Malwarebytes -> Malware.AI.4193686271
Microsoft -> Ransom:Win32/Filecoder.P!MSR
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Bat.Trojan-dropper.Generic.Lmul
TrendMicro -> Ransom.Win32.HUMBLE.THBAGBA

Ранний вариант от 14-15 февраля 2021:
Расширение: .lck
Записки: Pay2Decrypt1.txt - Pay2Decrypt100.txt
В этом более раннем образце записки нет email и BTC-кошелька вымогателей. 


➤ Содержание записки:
Pay us 0.0002 BTC to 
Your personal key is: rxGB4fEkDwDxLoESpI1MRq2LlbTJlgEQN6rRrQ7esp24vlL
You have 5 days to pay, if the time elapse, your files will be deleted.
The time start now: D:Sun 02/14/2021 T:23:10:24.53.
---
Файл: BleachGap.exe
Результаты анализов: VT + TG + AR + ARIA 


Статья от TrendMicro 4 марта 2021 >>
См. описание как Humble Ransomware. 


Вариант от 20 марта 2021:
Самоназвание: Onim и Onim 1.4 Ransomware
Расширение: .aes
Записка: Readme.txt
Также используется изображением с текстом, заменяющее обои Рабочего стола. 


Email: omm72031@yandex.ru, onimransom@cock.li, onimransom@protonmail.com
Файл: Setup.exe
На файле написано: MalwareBytes Corporation и MalwareBytes 2021 Crack

Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33680
BitDefender -> Trojan.GenericKD.36564795
ESET-NOD32 -> BAT/Filecoder.DW
Qihoo-360 -> Win32/Trojan.Generic.HgIASRIA
Rising -> Trojan.Generic@ML.98 (RDMK:PRSWFe/DG0mfY1sECTIgMg)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.ONIM.THCBCBA





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, 0x4143
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 15 февраля 2021 г.

Anton, Artemon

Anton-Artemon Ransomware

Variants: Anton, Artemon, AutoHello

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Anton Ransomware и Artemon 
Ransomware. Вымогатели используют два названия одновременно. Видимо они очень хотели замаскироваться под русских вымогателей, что не смогли выбрать имя. Для пользователей некоторых неевропейских алфавитов и иероглифов такая путаница в порядке вещей. Имя Anton написано на экране. Имя Artemon написано в текстовой записке. На исполняемом файле написано: WORD и Word document.exe. Кроме того есть файлы с названиями, в которых есть Petya, Mischa и WNCRY. В заголовке окна ещё написано "Trojan.Ransom.Anton.A".
---
Обнаружения:
DrWeb -> Trojan.Encoder.33478
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Agent.rkywk
ESET-NOD32 -> MSIL/Filecoder.AFY
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/ArtemonCrypt.PA!MTB
Rising -> Ransom.ArtemonCrypt!8.12494 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Lmaq
TrendMicro -> TROJ_GEN.R002H09BF21
---

© Генеалогия: HiddenTear + (
Petya+Mischa=WNCRY) >> Anton, Artemon и вся их компания


Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется или файлы вообще не шифруются. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Artemon.txt



Содержание записки о выкупе:
Hello! You victim on ARTEMON RANSOMWARE!
your files encrypted
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
For decryption, you must send us 0.001 BTC
Adress BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X
Within 1-2 days, we will send you a password and instructions for decryption.
Copyring 2020-2021

Перевод записки на русский язык:
Привет! Вы жертва ARTEMON RANSOMWARE!
ваши файлы зашифрованы
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Для расшифровки надо отправить нам 0,001 BTC
Адрес BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X
В течение 1-2 дней мы пришлем вам пароль и инструкцию по расшифровке.
Copyring 2020-2021


Запиской с требованием выкупа также выступает экран блокировки: 





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb - оригинальное название файла проекта; 
Artemon.txt - название файла с требованием выкупа; 
Word document.exe - название вредоносного файла; 
a.MischaMyFriend - бинарный файл в анализе; 
b.PetyaMyFriend  - бинарный файл в анализе; 
exeexeexe1.ArtemonTrojan  - бинарный файл в анализе; 
encrypt.Ransom  - бинарный файл в анализе. 




В пути, где лежат файлы проекта вымогателей, видно, что используются папки с названиеми "исходники" и "ИСХОДНИКИ". Сразу видно, что им было мало одной папки с таким названием, потому сделали еще одну с большими буквами, чтобы показать, какие они "русские". Далее есть ещё две папки "AutoHello". Видимо программисты "ещё те субчики" и у них 
голова совсем "ку-ку". 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\server33\исходники\ИСХОДНИКИ\AutoHello\AutoHello\obj\Debug\4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb

Ошибки в программе:

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.


воскресенье, 14 февраля 2021 г.

Steel

Steel Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Язык программирвоания: Delphi. Использует OpenSSL. 
---
Обнаружения:
DrWeb ->
 Trojan.Encoder.33544
Avira (no cloud) -> TR/FileCoder.itptc, TR/FileCoder.kwezc
BitDefender -> Trojan.GenericKD.45770090
ESET-NOD32 -> Win32/Filecoder.OFS
Malwarebytes -> Malware.AI.4275350409
Microsoft -> Trojan:Win32/Ymacco.AA55
Qihoo-360 -> Win32/Ransom.Encoder.HgIASQAA, Win32/Heur.Generic.HwYDSicA
Rising -> Downloader.Banload!8.15B (CLOUD), Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT
Tencent -> Win32.Trojan.Filecoder.Htci, Win32.Trojan.Encoder.Afhu
TrendMicro -> Ransom_Encoder.R002C0PBI21
---

© Генеалогия: ??? >> Steel

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random{4}>

Примеры таких расширений:
.A1WJ
.SO0i

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.txt 


Содержание записки о выкупе:
******************************ATTENTION!******************************
All your important files have been encrypted by STEEL Ransomware!
For encryption we use reliable algorithms! You can read more here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Many of your documents, photos, videos, images and other files are no longer
accessible because they have been encrypted. It means that your files are not
damaged, but modified. The reverse process is called decryption.
We use strong algorithms so it impossible to crack key. You can easily restore all your files.
We guarantee that all your files will be successfully decrypted after paying.
We can decrypt 2 files for free (size <2mb) as proof that we can decrypt your files.
Warning! After 7 days price will be doubled!
How to decrypt files ?
1) Contact us via email x_coded@protonmail.com
2) Pay $350 on our monero wallet (we will send you wallet address)
3) Send your personal key to our email (It's located at the end of this document)
4) Get decryption key and program
5) Decrypt all your files
******************************????????!******************************
??? ???? ????? ??????????? STEEL Ransomware!
??? ?????????? ???????????? ???????? ????????? ??????????.
?? ?????? ???????????? ????????? ?????:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
???? ?????????, ?????, ????, ???????? ? ?????? ????? ?????? ??????????,
?????? ??? ??? ???????????. ??? ??????, ??? ???? ????? ?? ??????????, ??
??????????????. ???????? ??????? ?????????? ????????????.
???????? ??? ????????? ????? ???????????? ??????????! ?? ?????? ?????
???????????? ??? ?????. ?? ???????????, ??? ??? ???? ????? ????? ???????
???????????? ????? ??????. ? ???????? ?????????????? ??????????? ?????-
??????? ?? ????? ????????? ???????????? 2 ????? ???????? ?? ????? 2 ??.
????????! ????? 7 ???? ???? ????? ???????!
??? ???????????? ??????
1)????????? ? ???? ????? e-mail X_coded@protonmail.com
2)???????? 350 USD ?? monero ???????, ??????? ?? ?????? ???
3)????????? ??? ????, ????????????? ? ????? ????? ?????????.
4)???????? ?????????-?????????? ? ????
5)??????????? ???? ?????
YOUR PERSONAL KEY HERE:
----------BEGIN STEEL KEY----------
m7uF2wMnEjZPWZk77en5lFKHnG8KBKeyUEWu {всего 344 знака}
----------END STEEL KEY----------


Реконструкция текста, который оказался неопознанным.
Идентифицирован как русский:
******************************ВНИМАНИЕ!******************************
Все ваши файлы зашифрованы STEEL Ransomware!
Для шифрования использованы надежные алгоритмы шифрования! 
Вы можете ознакомиться подробнее здесь:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Ваши документы, видео, фото, картинки и другие файлы теперь не
доступны, потому что они зашифрованы. Это значит, что ваши файлы не 
повреждены, но модифицированы. Обратный процесс называется расшифровкой.
???????? ??? ????????? файлы расшифровать невозможно. 
Вы можете легко восстановить все файлы. Мы гарантируем, что все ваши файлы будут успешно расшифрованы после оплаты.
 В качестве доказательства возможности ?????-??????? мы можем бесплатно расшифровать 2 файла размером не более 2 МБ
Внимание! Через 7 дней цена будет удвоена!
Как расшифровать файлы?
1) Свяжитесь с нами по почте e-mail x_coded@protonmail.com
2) Оплатите 350 USD на monero кошелек, который мы вышлем вам
3) Отправьте ваш ключ, располагается в конце этого документа.
4) Получите программу-дешифратор и ключ
5) Расшифруйте свои файлы

Перевод записки на русский язык:
******************************ВНИМАНИЕ!****************** ************
Все ваши важные файлы зашифрованы STEEL Ransomware!
Для шифрования мы используем надежные алгоритмы! Вы можете прочитать больше здесь:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Многие из ваших документов, фото, видео, изображений и других файлов теперь недоступны, потому что они зашифрованы. Это значит, что ваши файлы не повреждены, но модифицированы. Обратный процесс называется расшифровкой.
Мы используем сильные алгоритмы, поэтому ключ невозможно взломать. Вы сможете легко восстановить все свои файлы.
Мы гарантируем, что все ваши файлы будут успешно расшифрованы после оплаты.
Мы можем бесплатно расшифровать 2 файла (размером <2 МБ) как  доказательство того, что мы можем расшифровать ваши файлы.
Предупреждение! Через 7 дней цена удвоится!
Как расшифровать файлы?
1) Свяжитесь с нами по email x_coded@protonmail.com
2) Заплатите 350 долларов на наш кошелек monero (мы отправим вам адрес кошелька)
3) Отправьте свой личный ключ на наш email (он находится в конце этого документа)
4) Получите ключ дешифрования и программу
5) Расшифруйте все свои файлы
****************************** ????????! *********** *******************


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Добавляет 8 уникальных байтов к файлам и использует разные ключи для разных файлов. 

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.txt - название файла с требованием выкупа; 
KMSAuto Net.exe - название вредоносного файла; 
SWEfghd678hfjbbhbGFrca.exe - случайное название вредоносного файла.

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\loader.exe
C:\Users\Admin\AppData\Local\Temp\selfdstr.bat
C:\Users\Admin\AppData\Local\Temp\libeay32.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: x_coded@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Подписчики

My tweet feed

My tweet feed
My tweet feed

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *