WhiteBlackCrypt

WhiteBlackCrypt Ransomware

Encrpt3d Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES-256 (режим CTR, без RSA), а затем требует выкуп в 10 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: banner.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33774
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win64/Filecoder.DJ
Kaspersky -> Trojan-Ransom.Win32.Blocker.mwat

Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AA88

Qihoo-360 -> Win64/Trojan.Generic.HgEASR4A
Rising -> Ransom.Blocker!8.12A (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002H09D121
---

© Генеалогия: ??? >> WhiteBlackCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrpt3d


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:

!WARNING!

Your files has been ENCRYPTED! Now, you cant access them, but they are not deleted. We need to get 10 BTC at the specified address:

-------------------------------------------------

19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn

-------------------------------------------------

by 15.05.2021. If we recieve 10 BTC, we will send text document to you mail with a PRIVATE RSA key, and a link to a program, that can decrypt all files on every computer, encrypted with this program

If we recieve moneys, for acquiring decryption key, please send us address of your bitcoin wallet.

Whiteblackgroup002@gmail.com ; Wbgroup022@gmail.com

Перевод записки на русский язык:

!ПРЕДУПРЕЖДЕНИЕ!

Ваши файлы зашифрованы! Теперь вы не можете получить к ним доступ, но они не удалены. Нам нужно получить 10 BTC на указанный адрес:

-------------------------------------------------

19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn

-------------------------------------------------

до 15.05.2021. Если мы получим 10 BTC, мы отправим вам текстовый документ с ПРИВАТНЫМ RSA-ключом и ссылкой на программу, которая может расшифровать все файлы на каждом компьютере, зашифрованные с помощью этой программы.

Если мы получаем деньги, для получения ключа дешифрования пришлите нам адрес вашего биткойн-кошелька.

Whiteblackgroup002@gmail.com; Wbgroup022@gmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.3DM, .3DS, .ACCDB, .ARC, .ASF, .ASM, .ASP, .AVI, .BACKUP, .BAK, .BAT, .BMP, .CLASS, .CMD, .CPP, .CRT, .CSR, .CSS, .CSV, .DBF, .DER, .DIF, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DWG, .EML, .FLA, .FLV, .FRM, .GIF, .HTML, .HWP, .ISO, .JAR, .JAVA, .JPEG, .JPG, .JSP, .KEY, .LDF, .M3U, .M4U, .MAX, .MDB, .MDF, .MID, .MKV, .MOV, .MP3, .MP4, .MPEG, .MPG, .MSG, .MYD, .MYI, .ODB, .ODP, .ODS, .ODT, .P12, .PAS, .PDF, .PEM, .PFX, .PHP, .PNG, .POT, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSD, .PST, .RAR, .RAW, .RTF, .SCH, .SLDM, .SLDX, .SLK, .SQL, .SQLITE3, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TGZ, .TIF, .TIFF, .TXT, .VBS, .VDI, .VMDK, .VOB, .WAV, .WB2, .WK1, .WKS, .WMA, .WMV, .XLC, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .ZIP (124 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
banner.exe - название вредоносного файла;

CheckServiceD.exe - другой файл файл.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\CheckServiceD.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Whiteblackgroup002@gmail.com, Wbgroup022@gmail.com
BTC: 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as WhiteBlackCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.