среда, 31 марта 2021 г.

WhiteBlackCrypt

WhiteBlackCrypt Ransomware

Encrpt3d Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES-256 (режим CTR, без RSA), а затем требует выкуп в 10 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: banner.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33774
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win64/Filecoder.DJ
Kaspersky -> Trojan-Ransom.Win32.Blocker.mwat
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AA88
Qihoo-360 -> Win64/Trojan.Generic.HgEASR4A
Rising -> Ransom.Blocker!8.12A (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002H09D121
---

© Генеалогия: ??? >> WhiteBlackCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrpt3d


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 



Содержание записки о выкупе:
!WARNING!
Your files has been ENCRYPTED! Now, you cant access them, but they are not deleted. We need to get 10 BTC at the specified address:
-------------------------------------------------
19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
-------------------------------------------------
by 15.05.2021. If we recieve 10 BTC, we will send text document to you mail with a PRIVATE RSA key, and a link to a program, that can decrypt all files on every computer, encrypted with this program
If we recieve moneys, for acquiring decryption key, please send us address of your bitcoin wallet.
Whiteblackgroup002@gmail.com ; Wbgroup022@gmail.com

Перевод записки на русский язык:
!ПРЕДУПРЕЖДЕНИЕ!
Ваши файлы зашифрованы! Теперь вы не можете получить к ним доступ, но они не удалены. Нам нужно получить 10 BTC на указанный адрес:
-------------------------------------------------
19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
-------------------------------------------------
до 15.05.2021. Если мы получим 10 BTC, мы отправим вам текстовый документ с ПРИВАТНЫМ RSA-ключом и ссылкой на программу, которая может расшифровать все файлы на каждом компьютере, зашифрованные с помощью этой программы.
Если мы получаем деньги, для получения ключа дешифрования пришлите нам адрес вашего биткойн-кошелька.
Whiteblackgroup002@gmail.com; Wbgroup022@gmail.com


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3DM, .3DS, .ACCDB, .ARC, .ASF, .ASM, .ASP, .AVI, .BACKUP, .BAK, .BAT, .BMP, .CLASS, .CMD, .CPP, .CRT, .CSR, .CSS, .CSV, .DBF, .DER, .DIF, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DWG, .EML, .FLA, .FLV, .FRM, .GIF, .HTML, .HWP, .ISO, .JAR, .JAVA, .JPEG, .JPG, .JSP, .KEY, .LDF, .M3U, .M4U, .MAX, .MDB, .MDF, .MID, .MKV, .MOV, .MP3, .MP4, .MPEG, .MPG, .MSG, .MYD, .MYI, .ODB, .ODP, .ODS, .ODT, .P12, .PAS, .PDF, .PEM, .PFX, .PHP, .PNG, .POT, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSD, .PST, .RAR, .RAW, .RTF, .SCH, .SLDM, .SLDX, .SLK, .SQL, .SQLITE3, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TGZ, .TIF, .TIFF, .TXT, .VBS, .VDI, .VMDK, .VOB, .WAV, .WB2, .WK1, .WKS, .WMA, .WMV, .XLC, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .ZIP (124 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
banner.exe - название вредоносного файла;
CheckServiceD.exe - другой файл файл.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\CheckServiceD.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Whiteblackgroup002@gmail.com, Wbgroup022@gmail.com
BTC: 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as WhiteBlackCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 30 марта 2021 г.

RCRU64

RCRU64 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: RCRU64.exe и rcru_64.exe. Использует библиотеку Crypto++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33749
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OFR
Malwarebytes -> ***
Microsoft -> ***
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> TROJ_GEN.R002H09D121
---

© Генеалогия: Ouroboros > VoidCrypt >> RCRU64

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .03rK

Фактически используется составное расширение, которое добавляется к оригиным названиям файлов: [ID=rfeHv0-Mail=FilesRecoverEN@Gmail.com].03rK

Шаблон можно записать так: [ID=<id>-Mail=<email>].03rK

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта - начало апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Одна записка с требованием выкупа называется Read_Me!_.txt:


Содержание записки Read_Me!_.txt:
Your Data Locked.
To Get Decryption Instructions Email Us ,Don't Edit Files Or Folders ! 
ID : rfe***
Email Address : FilesRecoverEN@Gmail.com

Перевод записки на русский язык:
Ваши данные блокированы.
Для получения инструкции по расшифровке пишите на email, не изменяйте файлы или папки!
ID: rfe***
Email-адрес: FilesRecoverEN@Gmail.com




Содержание записки ReadMe_Now!.hta:
All Your Files Have Been Encrypted !
All Your Files Encrypted Due To A Security Problem With Your PC. If You Need Your Files Please Send Us E-mail To Get Decryption Tools .
The Only Way Of Recovering Files Is To Purchase For Decryption Tools ( Payment Must Be Made With Bitcoin ) . If You Do Not E-mail Us After 48 Hours Decryption Fee Will Double.
Our E-mail Address : FilesRecoverEN@Gmail.com
Your Personal ID : rfe***
Sent E-mail Should Be Contains Your Personal ID.If Don't Get a Response Or Any Other Problem Write Us E-mail At : FilesRecoverEN@Protonmail.com
Check Your Spam Folder Too.
---
What Guarantee Do We Give You ?
You Can Send Some Files For Decryption Test( Before Paying ). File Size Must Be Less Than 2MB And Files Should Not Contains Valuabe Data Like (Backups , Databases etc ... ) .
--------------------------------------------------------------------------------
How To Buy Bitcoins
Get Buy Bitcoin Instructions At LocalBitcoins : 
https://localbitcoins.com/guides/how-to-buy-bitcoins
Buy Bitcoin Instructions At Coindesk And Other Websites By Searching At Google :
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
--------------------------------------------------------------------------------
Attention !!
Do Not Edit Or Rename Encrypted Files.
Do Not Try To Decrypt Files By Third-Party Or Data Recovery Softwares It May Damage Files Forever.
In Case Of Trying To Decrypt Files With Third-Party,Recovery Sofwares This May Make The Decryption Harder So Prices Will Be Rise.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы зашифрованы из-за проблем с безопасностью вашего ПК. Если вам нужны ваши файлы, отправьте нам email, чтобы получить средства дешифрования.
Единственный способ восстановить файлы - это приобрести инструмент дешифрования (оплата должна быть в биткойнах). Если вы не напишите нам на email через 48 часов, плата за расшифровку удвоится.
Наш email-адрес: FilesRecoverEN@Gmail.com
Ваш персональный ID: rfe***
Отправленное email должно содержать ваш личный ID. Если не получите ответа или возникнут другие проблемы, напишите нам email на адрес: FilesRecoverEN@Protonmail.com
Также проверьте папку Спам.
---
Какие гарантии мы вам даем?
Вы можете отправить некоторые файлы на расшифровку (перед оплатой). Размер файла должен быть меньше 2 МБ, и файлы не должны содержать таких ценных данных, как (резервные копии, базы данных и т.д.).
-------------------------------------------------- ------------------------------
Как купить биткойны
Получите инструкции по покупке биткойнов на LocalBitcoins:
https://localbitcoins.com/guides/how-to-buy-bitcoins
Купите биткойн-инструкции в Coindesk и других сайтах, ищите в Google:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
-------------------------------------------------- ------------------------------
Внимание !!
Не редактируйте и не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать файлы другими или восстановительными программами, это может навсегда повредить файлы.
В случае попытки расшифровать файлы с помощью других программ для восстановления, это может усложнить дешифрование, поэтому цены возрастут. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Деструктивные действия 
Обходит UAC, отключает защиту, изменяет ключи реестра. 

Удаляет теневые копии файлов, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол, меняет правила групповой политики  командами:
C:\Windows\system32\cmd.exe /c reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f&vssadmin.exe Delete Shadows /All /Quiet&wmic shadowcopy delete&netsh advfirewall set currentprofile state off&netsh firewall set opmode mode=disable&netsh advfirewall firewall set rule group="Network Discovery" new enable=Yes

Завершает следующие процессы с помощью команд: 
C:\Windows\system32\cmd.exe /c taskkill /im notepad.exe&taskkill /im msftesql.exe&taskkill /im sqlagent.exe&taskkill /im sqlbrowser.exe&taskkill /im sqlservr.exe&taskkill /im sqlwriter.exe&taskkill /im oracle.exe&taskkill /im ocssd.exe&taskkill /im dbsnmp.exe&taskkill /im synctime.exe&taskkill /im agntsvc.exe&taskkill /im mydesktopqos.exe&taskkill /im isqlplussvc.exe&taskkill /im xfssvccon.exe&taskkill /im mydesktopservice.exe&taskkill /im ocautoupds.exe&taskkill /im agntsvc.exe&taskkill /im encsvc.exe&taskkill /im firefoxconfig.exe&taskkill /im tbirdconfig.exe&taskkill /im ocomm.exe&taskkill /im mysqld.exe&taskkill /im mysqld-nt.exe&taskkill /im mysqld-opt.exe&taskkill /im dbeng50.exe&taskkill /im sqbcoreservice.exe&taskkill /im excel.exe&taskkill /im infopath.exe&taskkill /im msaccess.exe&taskkill /im mspub.exe&taskkill /im onenote.exe&taskkill /im outlook.exe&taskkill /im powerpnt.exe&taskkill /im steam.exe&taskkill /im thebat.exe&taskkill /im thebat64.exe&taskkill /im thunderbird.exe&taskkill /im visio.exe&taskkill /im winword.exe&taskkill /im wordpad.exe

➤ Подробности шифрования: 
Добавляет 0x06 байтов "00 75 64 69 6A 3D" в качестве маркера файла, затем 0x100 байтов, которые представляют собой зашифрованный RSA-2048 массив двоичных данных. Используемая библиотека Crypto++ шифрует до 0x7CFF0 файла. Используется ключ CryptGenRandom для каждого файла.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read_Me!_.txt - название файла с требованием выкупа; 
ReadMe_Now!.hta - название другого файла с требованием выкупа; 
RCRU64.exe, rcru_64.exe - название вредоносного файла.


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: FilesRecoverEN@Gmail.com, FilesRecoverEN@Protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as RCRU64)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Bagli Wiper

Bagli Ransomware

Bagli Wiper Ransomware

(фейк-шифровальщик, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $350 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: a1sened.exe, ExcellToPdf.exe. 

Обнаружения:
DrWeb -> Trojan.Encoder.33631
BitDefender -> Trojan.GenericKD.45907417
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGW
Malwarebytes -> Trojan.Dropper.MSIL.Generic
Microsoft -> Trojan:Win32/Ymacco.AAA7
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> Trojan.MSIL.OUTBREAK.USMANCM21


© Генеалогия: ??? >> Bagli Ransomware

Изображение — логотип статьи

К фейк-зашифрованным (перезаписанным) файлам добавляется расширение: .bagli


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину-конец марта 2021 г. Ориентирован на азербайджаноязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: oxu.txt


Содержание записки о выкупе:
Komputerinizdəki fayllar şifrələndi.
Faylların bərpası üçün təqdim olunan bitkoin adresinə bitkoin göndərməyiniz xahiş olunur.
Bərpa etmək üçün məbləği aşağıda göstərilmiş ünvana göndərin. Göndərdikdən sonra email vasitəsi ilə əlaqə saxlayın.
Ödənməmişdən əvvəl yazılan heç bir mail üçün cavab yazılmayacaq. Ödəniş yalnız bitcoin ilə mümükündür.
Narahat olmayın ödənişdən sonra sizə şifrə və proqram veriləcəkdir və sizin fayllar qayıdacaqdır.
Ödəniş qiyməti:350$
Bitcoin address: bc1qnurh904jcnxm0amfg2cy3406k4ed2vd2x67s8p
Email: ramilo2122@yandex.com
ID: 7406*****
Bitcoin almaq üçün bəzi saytlar binance.com, cex.io, coinmama.com, coinbase.com

Перевод записки на русский язык:
Файлы на вашем компьютере зашифрованы.
Отправьте биткойны на указанный биткойн-адрес, чтобы восстановить файлы.
Для возврата отправьте сумму по указанному ниже адресу. Пожалуйста, свяжитесь с нами по email после отправки.
Ответ не будет отправлен на любое письмо, написанное до оплаты. Оплата только биткойнами.
Не волнуйтесь, после оплаты вы получите пароль и программу и ваши файлы восстановятся.
Сумма платежа: 350$
Биткойн-адрес: bc1qnurh904jcnxm0amfg2cy3406k4ed2vd2x67s8p
Email: ramilo2122@yandex.com
ID: 7406*****
Некоторые сайты для покупки биткойнов: binance.com, cex.io, coinmama.com, coinbase.com.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Файлы не шифруются, а перезаписываются случайными символами. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся фейк-шифрованию:
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
oxu.txt - название файла с требованием выкупа
a1sened.exe, ExcellToPdf.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ramilo2122@yandex.com
BTC: bc1qnurh904jcnxm0amfg2cy3406k4ed2vd2x67s8p
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Bagli Wiper)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Tomas Meskauskas 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 15 марта 2021 г.

HANTA

Hanta Ransomware

HantaVirus Ransomware

Hanta 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HANTA Virus и Hanta Ransomware. На файле написано: hanta.exe, build.exe.
---
Обнаружения: 
DrWeb -> Trojan.Encoder.10598, Trojan.EncoderNET.13
BitDefender -> Gen:Heur.Ransom.RTH.1, Gen:Variant.Ransom.HiddenTear.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:MSIL/Ryzerlo.B, TrojanDownloader:MSIL/Genmaldow.A
Rising -> Ransom.Generic!8.E315 (CLOUD), Downloader.Genmaldow!8.1207 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Generic.Ssqw
TrendMicro -> Ransom_RAMSIL.SM, TROJ_GEN.R002C0DCP21
---

© Генеалогия: HiddenTear > 
HiddenTear modified >> Hanta > Hanta-2

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .HANTA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину марта 2021 г. (образцы от 15 и 25 марта). Ранний вариант был на основе HiddenTear, а следующий был модифицирован. Шифровальщик-вымогатель ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: how_to_recover.txt


Содержание записки о выкупе:
- WHAT HAPPENED TO MY COMPUTER?
All Files on your system has been encrypted with HANTA Virus.
Nobody will be able to decrypt ANY of your files without our decryption service. Dont waste your time.
- CAN I RECOVER MY FILES?
You will be able to recover your files only after you send 50 to this BTC wallet: 
1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC
or contact with us by email: hanta@420blaze.it
Your system indetification: c8808c55-1e3e-4426-8897-4e8648b89e5e***
Any antivirus sortware can corrupt files, if you want save back your files, turn off antivirus, it can delete our application

Перевод записки на русский язык:
- ЧТО С МОИМ КОМПЬЮТЕРОМ?
Все файлы в вашей системе зашифрованы HANTA Virus.
Никто не расшифрует ЛЮБОЙ из ваших файлов без нашей службы дешифрования. Не тратьте время зря.
- МОГУ Я ВОССТАНОВИТЬ ФАЙЛЫ?
Вы сможете восстановить свои файлы только после отправки 50 на этот кошелек BTC:
1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC
или свяжитесь с нами по email: hanta@420blaze.it
Идентификация вашей системы: c8808c55-1e3e-4426-8897-4e8648b89e5e ***
Любая антивирусная программа может повредить файлы, если вы хотите сохранить свои файлы, выключите антивирус, он может удалить наше приложение


Другим информатором жертвы выступает изображение на экране. 


Содержание текста на изображении:
you got pwned by hanta ransomware
to back your files read how_to_decrypt.txt
on your desktop folder

Перевод на русский язык:
ты был атакован hanta ransomware
для возврата файлов читай how_to_decrypt.txt 
на твоем рабочем столе


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how_to_recover.txt - название файла с требованием выкупа
hanta.exe, build.exe - название вредоносного файла


 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ransomware\hidden-tear orig\hidden-tear-master\hidden-tear\hidden-tear\obj\Release\hanta.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hanta@420blaze.it
BTC: 1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 1 апреля 2021:
Записка: how_to_recover.html
Email: hanta@420blaze.it
BTC: 1HYpnNyAERfmC5bnueGs7E3qDgMAxRiLGC
Результаты анализов: VT


Вариант от 3 апреля 2021:
Записка: how_to_recover.html
Email: hanta@420blaze.it
Файл: hanta_2_0.exe
Результаты анализов: VTIA 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33771
BitDefender -> Gen:Variant.Bulz.417780
Microsoft -> Program:Win32/Wacapew.C!ml





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, S!Ri, GrujaRS
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

суббота, 13 марта 2021 г.

RunExeMemory

RunExeMemory Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в от 100 до ~1000 BTC за восстановление всех файлов в сети, угрожая начать
DDoS-атаку. Оригинальное название: в записке не указано. На файле написано: RunExeMemory.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33617, Trojan.Encoder.33618
BitDefender -> Gen:Trojan.Heur.Dropper.gm0@ay5u4Goi
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of Win32/Kryptik.UVH
Kaspersky -> Trojan.Win32.Vebzenpak.aedz, Trojan-Ransom.Win32.Encoder.lsk
Kingsoft -> Win32.Troj.Vebzenpak.ae.(kcloud)
Malwarebytes -> Malware.AI.1295064603, Malware.Heuristic.1003
Microsoft -> VirTool:Win32/VBInject.HH, Program:Win32/Ymacco.AA0D
Qihoo-360 -> Win32/Trojan.VBInject.HykC4J8A, Win32/TrojanDropper.Generic.HxMB4rsA
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Win32.Trojan.Vebzenpak.Akfi, Win32.Trojan.Encoder.Frv
TrendMicro -> Trojan.Win32.MALREP.THCACBA, TROJ_GEN.R002H09CD21
---

© Генеалогия: более ранний вариант >> RunExeMemory

Изображение — логотип статьи

К зашифрованным файлам добавляется случайное расширение с 6-знаками: 
.<random{6}>

Примеры таких расширений: 
.ft5p7u
.g1yfw9
.rb8tco


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2021 г.  Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Read me, if you want to recover your files.txt

Содержание записки о выкупе:
Restoring all files on your network -> 986 BTC
It's your identifier: 
28828378515309952921
23179835766942351018
38430402818695651204
43781968060238050390
48032535212971359486
We will contact you ourselves
*If you don't pay us, then expect a wave of DDoS attacks

Перевод записки на русский язык:
Восстановление всех файлов в сети -> 986 BTC
Это ваш идентификатор: 
28828378515309952921
23179835766942351018
38430402818695651204
43781968060238050390
48032535212971359486
Мы свяжемся с вами сами
* Если вы нам не заплатите, то ждите волны DDoS-атак



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read me, if you want to recover your files.txt - название файла с требованием выкупа; 
RunExeMemory.exe - название вредоносного файла; 
trash.exe, dump.exe - названия вредоносных файлов; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.ft5p7u
C:\Users\seyret\Desktop\ms_visual_basic6\VB98\VB6.OLB
C:\Users\Admin\AppData\Local\Temp\trash.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>  TG>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 апреля 2021:
Сообщение >>
Сообщение >>
Пример расширения: .ilegx6
Результаты анализов: VTVT + AR




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + myMessage
 ID Ransomware (ID as RunExeMemory)
 Write-up, Topic of Support
 * 

Внимание! Файлы можно дешифровать! Рекомендую обратиться по ссылке к Michael Gillespie >>
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Подписчики

My tweet feed

My tweet feed
My tweet feed

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *