Jesus Ransomware
JesusCrypt-2021 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Jesus Ransomware и JesusCrypt. На файле написано: Jesus Ransom.exe.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.21
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Ransom.yecpv
BitDefender -> Trojan.GenericKD.45838451
ESET-NOD32 -> MSIL/Filecoder.AGC
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.PDO!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.JESUSCRYPT.A
---
© Генеалогия: ✂ HiddenTear >> JesusCrypt-2021
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: *нет данных*.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был найден в конце февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Содержит ошибки в работе, из-за этого исследование затруднено.
Записка с требованием выкупа называется: *нет данных*.
Содержание записки о выкупе:
All Your Files Encrypted By Jesus Ransomware :) .
Your Unique_ID : [SYSID]
Write Email To [EMAIL1] Or [EMAIL2] If You Want To Decrypt Your Files .
Перевод записки на русский язык:
Все ваши файлы зашифрованы Jesus Ransomware :).
Ваш уникальный_ID: [SYSID]
Пишите email на [EMAIL1] или [EMAIL2], если хотите расшифровать файлы.
Содержание записки о выкупе:
All your files have been encrypted by JesusCrypt!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the E-mail : ***
Write this ID in the title of your message : ***
In case of no answer in 24 hours write us to this E-mail : ***
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 fifes for free decryption. The total size of fifes must be less than 4Mb (non archived), and files should not contain valuable info ***
How to obtain Bitcoins
The easiest way to buy bitcoins s LocalBitcoins site. You have to register, clck 'Buy bitcoins', and select the seller by payment method and price.
http://www.localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted fies.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your fifes with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Перевод записки на русский язык:
Все ваши файлы зашифрованы JesusCrypt!
Все ваши файлы были зашифрованы из-за проблем безопасности вашего ПК. Если вы хотите их вернуть, напишите нам на E-mail: ***
Напишите этот ID в теме сообщения: ***
В случае без ответа за 24 часа напишите нам на этот E-mail: ***
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишите. После оплаты мы вышлем вам инструмент, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть менее 4 МБ (без архива), а файлы не должны содержать ценной информации ***
Как получить биткойны
Самый простой способ купить биткойны на сайте LocalBitcoins. Вам надо зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
http://www.localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может повредить данные.
• Расшифровка ваших фишек с помощью третьих лиц может привести к удорожанию (они прибавят свой гонорар к нашему) или вы можете стать жертвой мошенничества.
Технические детали
Пока находится в разработке и не распрсотраняется. После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Jesus Ransom.exe - случайное название вредоносного файла;
Jesus Ransom.pdb - название файла проекта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Soheil\Desktop\Jesus Ransom\Jesus Ransom\obj\Debug\Jesus Ransom.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: eiklot@hi2.in, SendServerInfo@hitler.rocks
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: eiklot@hi2.in, SendServerInfo@hitler.rocks
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as HiddenTear) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
