CashCat Ransomware Simulator
CryptoLocker Ransomware Simulator
(шифровальщик-симулятор) (первоисточник)
Translation into English
Этот крипто-симулятор шифрует файлы только в папке с текстовыми файлами, куда он должен быть предварительно помещен. Чтобы разблокировать и расшифровать файлы нужно ввести код 123456789. Оригинальное название: в записке не указано. На файле написано: CashCat.exe. Разработчик: Lee Berg.
---
Обнаружения:
DrWeb -> Joke.Encoder.1006
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Hoax.FakeFilecoder.FV
Kaspersky -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cashcat.SA!MTB
Rising -> Trojan.Generic/MSIL@AI.96 (RDM.MSIL:vr*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ransom.Agup
TrendMicro -> Ransom_Cashcat.R002C0DC521
---
© Генеалогия: ✂ WannaCry >> CashCat Ransomware Simulator
Tencent -> Win32.Trojan.Ransom.Agup
TrendMicro -> Ransom_Cashcat.R002C0DC521
---
© Генеалогия: ✂ WannaCry >> CashCat Ransomware Simulator
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Первичная информация была опубликована в конце февраля 2021 г. Разработчик представил свой крипто-симулятор в хранилище на сайте GitHub. Предназначение: имитировать поведение программы-вымогателя для демонстрации и тестирования различных инструментов мониторинга файлов и систем реагирования.
К зашифрованным файлам добавляются расширения из заготовленного списка известных расширений из других Ransomware:
.AngryDuck
.BitCryptor
.BOMBO
.CommonRansom
.CoronaLock
.Crypt0L0cker
.D00mEd
.Dablio
.DIABLO6
.FrozrLock
.GoldenEye
.Horriblemorning
.Lazarus
.locky
.nuclear
.PayDay
.pedro
.petra
.PrOtOnIs
.satan
.SHARK
.TROLL
.weapologize
.write_us_on_email
.zeppelin
Записка с требованием выкупа написана на экране блокировки.
Текст является условным вымогательством. Это только имитирует вымогательство, на самом деле тут же предлагается ввести код разблокировки и расшифровать демонстрационные текстовые файлы.
По замыслу разработчика, симулятор использует разные расширения, собранные из проектов вымогателей. В зависимости от этого в заголовке программы будет меняться название. В примерах ниже видно два таких названия: CryptoLocker Simulator и CashCat Ransomware Simulator. Еще могут быть названия WannaCry Simulator и BTCWare Simulator.
Ooops, your files have been encrypted!
Your important files are now encrypted!
To decrypt files you need to obtain the private key. The Single copy of the private key which allow you to decrypt the files is on a secret server on the internet dark web. The server will destroy the key after a time specified in this window.
To obtain the private key for this computer, you need dot pay 300 USD / 300 EUR similar amount in other ***
---
Your files are being locked using a unique public RSA-4096 generated for this computer. Once the encryption operations are completed you will be unable to access your files without obtaining a special key from our internet dark web cyber server.
---
Denied, incorrect passkey! (HINT: try: 123456789)
---
Unlocked! Thanks! Your files will now be decrypted
---
Decrypted... have a nice day!
---
Congratulations! Your files are being unlocked using the unique public RSA-4096 generated for this computer
---
Welcome to your CashCat Key Backup Log File!
Скриншоты процесса расшифровки файлов
Проводится демонстрация шифрования txt-файлов.
Предлагается ввести корректный код разблокировки.
Подсказывается, что нужно ввести код: 123456789
Сообщается, что введенный код правильный.
Файлы расшифровываются.
Белый замок на фоне программы открывается.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
CashCat.pdb - файл проекта симулятора;
CashCat.exe - название файла симулятора;
CashCat.log - файл журнала.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\lee\git\CashCatRansomwareSimulator\CashCat\obj\Debug\CashCat.pdb
C:\Users\User\AppData\Local\Temp\CashCat.exe
C:\Users\User\AppData\Local\Temp\CashCat.log
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: e22f15441e597430b069dad9f72889fc
SHA-1: 6310f4db3726fdb52514718a402ede2db38c71bd
SHA-256: fa6855733a1cca500f3088b535808fc8093d67cadc9b34ad4ca7ec0170b25e03
Vhash: 255036651512208d18d502a
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: Lee Berg Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
