WhiteBlackCrypt Ransomware
Encrpt3d Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES-256 (режим CTR, без RSA), а затем требует выкуп в 10 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: banner.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.33774
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win64/Filecoder.DJ
Kaspersky -> Trojan-Ransom.Win32.Blocker.mwat
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AA88
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AA88
Qihoo-360 -> Win64/Trojan.Generic.HgEASR4A
Rising -> Ransom.Blocker!8.12A (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002H09D121
---
© Генеалогия: ??? >> WhiteBlackCrypt
К зашифрованным файлам добавляется расширение: .encrpt3d
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
Перевод записки на русский язык:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.3DM, .3DS, .ACCDB, .ARC, .ASF, .ASM, .ASP, .AVI, .BACKUP, .BAK, .BAT, .BMP, .CLASS, .CMD, .CPP, .CRT, .CSR, .CSS, .CSV, .DBF, .DER, .DIF, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DWG, .EML, .FLA, .FLV, .FRM, .GIF, .HTML, .HWP, .ISO, .JAR, .JAVA, .JPEG, .JPG, .JSP, .KEY, .LDF, .M3U, .M4U, .MAX, .MDB, .MDF, .MID, .MKV, .MOV, .MP3, .MP4, .MPEG, .MPG, .MSG, .MYD, .MYI, .ODB, .ODP, .ODS, .ODT, .P12, .PAS, .PDF, .PEM, .PFX, .PHP, .PNG, .POT, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSD, .PST, .RAR, .RAW, .RTF, .SCH, .SLDM, .SLDX, .SLK, .SQL, .SQLITE3, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TGZ, .TIF, .TIFF, .TXT, .VBS, .VDI, .VMDK, .VOB, .WAV, .WB2, .WK1, .WKS, .WMA, .WMV, .XLC, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .ZIP (124 расширения).
Rising -> Ransom.Blocker!8.12A (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002H09D121
---
© Генеалогия: ??? >> WhiteBlackCrypt
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .encrpt3d
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
!WARNING!
Your files has been ENCRYPTED! Now, you cant access them, but they are not deleted. We need to get 10 BTC at the specified address:
-------------------------------------------------
19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
-------------------------------------------------
by 15.05.2021. If we recieve 10 BTC, we will send text document to you mail with a PRIVATE RSA key, and a link to a program, that can decrypt all files on every computer, encrypted with this program
If we recieve moneys, for acquiring decryption key, please send us address of your bitcoin wallet.
Whiteblackgroup002@gmail.com ; Wbgroup022@gmail.com
Перевод записки на русский язык:
!ПРЕДУПРЕЖДЕНИЕ!
Ваши файлы зашифрованы! Теперь вы не можете получить к ним доступ, но они не удалены. Нам нужно получить 10 BTC на указанный адрес:
-------------------------------------------------
19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
-------------------------------------------------
до 15.05.2021. Если мы получим 10 BTC, мы отправим вам текстовый документ с ПРИВАТНЫМ RSA-ключом и ссылкой на программу, которая может расшифровать все файлы на каждом компьютере, зашифрованные с помощью этой программы.
Если мы получаем деньги, для получения ключа дешифрования пришлите нам адрес вашего биткойн-кошелька.
Whiteblackgroup002@gmail.com; Wbgroup022@gmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.3DM, .3DS, .ACCDB, .ARC, .ASF, .ASM, .ASP, .AVI, .BACKUP, .BAK, .BAT, .BMP, .CLASS, .CMD, .CPP, .CRT, .CSR, .CSS, .CSV, .DBF, .DER, .DIF, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DWG, .EML, .FLA, .FLV, .FRM, .GIF, .HTML, .HWP, .ISO, .JAR, .JAVA, .JPEG, .JPG, .JSP, .KEY, .LDF, .M3U, .M4U, .MAX, .MDB, .MDF, .MID, .MKV, .MOV, .MP3, .MP4, .MPEG, .MPG, .MSG, .MYD, .MYI, .ODB, .ODP, .ODS, .ODT, .P12, .PAS, .PDF, .PEM, .PFX, .PHP, .PNG, .POT, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PSD, .PST, .RAR, .RAW, .RTF, .SCH, .SLDM, .SLDX, .SLK, .SQL, .SQLITE3, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TGZ, .TIF, .TIFF, .TXT, .VBS, .VDI, .VMDK, .VOB, .WAV, .WB2, .WK1, .WKS, .WMA, .WMV, .XLC, .XLM, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .ZIP (124 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
banner.exe - название вредоносного файла;
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
banner.exe - название вредоносного файла;
CheckServiceD.exe - другой файл файл.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\CheckServiceD.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Whiteblackgroup002@gmail.com, Wbgroup022@gmail.com
BTC: 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Whiteblackgroup002@gmail.com, Wbgroup022@gmail.com
BTC: 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as WhiteBlackCrypt) Write-up, Topic of Support *
Thanks: S!Ri, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
