IziCrypt Ransomware
WormLocker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 50 евро с карты Paysafecard, чтобы вернуть файлы. Оригинальное название: IziCrypt. На файлах написано: IZI.exe и WormLocker2.0.exe
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31372
BitDefender -> Trojan.Agent.HidroClutter.A
Avira (no cloud) -> TR/Ransom.ienyz
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AEP
Malwarebytes -> Ransom.WormLocker
Microsoft -> Ransom:MSIL/WormLocker.DA!MTB
Qihoo-360 -> Win32/Ransom.Encoder.HwMA5OcA
Rising -> Ransom.WormLocker!8.12303 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan.Encoder.Alsp
TrendMicro -> Ransom_WormLocker.R002C0DAN21
---
© Генеалогия: ??? >> IziCrypt, WormLocker
К зашифрованным файлам никакое расширение не добавляется.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
IZI.exe - название вредоносного файла
Rising -> Ransom.WormLocker!8.12303 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan.Encoder.Alsp
TrendMicro -> Ransom_WormLocker.R002C0DAN21
---
© Генеалогия: ??? >> IziCrypt, WormLocker
Изображение — логотип статьи
К зашифрованным файлам никакое расширение не добавляется.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста о выкупе:
Перевод текста на русский язык:
What happened?
All your files, documents, videos, pictures and other files have been encrypted with a special algorithm.
If you want the files back, you have to send the paysafecard code to the email "ransom.izi.crypt@gmail.com"
After sending the amount of 50 euros, you will receive a decrypt code to unlock all files.
What happens if I don't pay?
If you do not pay by a certain time or turn off the computer, all your data will be permanently deleted and your computer will not turn on properly.
[ ]
[DECRYPT]
Перевод текста на русский язык:
Что произошло?
Все ваши файлы, документы, видео, изображения и другие файлы зашифрованы со специальным алгоритмом.
Если вы хотите вернуть файлы, отправьте код paysafecard на email-адрес "ransom.izi.crypt@gmail.com"
Отправив сумму в 50 евро, вы получите код расшифровки для разблока всех файлов.
Что будет, если я не заплачу?
Если вы не заплатите за выделенное время или не выключите компьютер, все ваши данные удалятся навсегда и ваш компьютер не включится правильно.
[ ]
[DECRYPT]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
IZI.exe - название вредоносного файла
ransom_voice.vbs
WormLocker2.0.exe
worm_tool.sys
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: ransom.izi.crypt@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 19 июня 2021:
Самоназвание: WormLocker2.0 и FishLocker.exe
Файл проекта:
F:\Extra Space\Ransomware\WormLocker2.0 SOURCE\WormLocker2.0\WormLocker2.0\obj\Debug\FishLocker.pdb
Код разблокировки: LUC QPV BTR
Результаты анализов: IOS: VT, HA, IA, TG, AR
MD5: 85d90010fed526eef947c440629b82dd
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Kangxiaopao, dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
