RunExeMemory Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в от 100 до ~1000 BTC за восстановление всех файлов в сети, угрожая начать DDoS-атаку. Оригинальное название: в записке не указано. На файле написано: RunExeMemory.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33617, Trojan.Encoder.33618
BitDefender -> Gen:Trojan.Heur.Dropper.gm0@ay5u4Goi
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of Win32/Kryptik.UVH
Kaspersky -> Trojan.Win32.Vebzenpak.aedz, Trojan-Ransom.Win32.Encoder.lsk
Обнаружения:
DrWeb -> Trojan.Encoder.33617, Trojan.Encoder.33618
BitDefender -> Gen:Trojan.Heur.Dropper.gm0@ay5u4Goi
Avira (no cloud) -> TR/Dropper.Gen
ESET-NOD32 -> A Variant Of Win32/Kryptik.UVH
Kaspersky -> Trojan.Win32.Vebzenpak.aedz, Trojan-Ransom.Win32.Encoder.lsk
Kingsoft -> Win32.Troj.Vebzenpak.ae.(kcloud)
Malwarebytes -> Malware.AI.1295064603, Malware.Heuristic.1003
Microsoft -> VirTool:Win32/VBInject.HH, Program:Win32/Ymacco.AA0D
Malwarebytes -> Malware.AI.1295064603, Malware.Heuristic.1003
Microsoft -> VirTool:Win32/VBInject.HH, Program:Win32/Ymacco.AA0D
Qihoo-360 -> Win32/Trojan.VBInject.HykC4J8A, Win32/TrojanDropper.Generic.HxMB4rsA
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Win32.Trojan.Vebzenpak.Akfi, Win32.Trojan.Encoder.Frv
TrendMicro -> Trojan.Win32.MALREP.THCACBA, TROJ_GEN.R002H09CD21
---
© Генеалогия: более ранний вариант >> RunExeMemory
К зашифрованным файлам добавляется случайное расширение с 6-знаками:
Rising -> Dropper.Generic!8.35E (CLOUD)
Tencent -> Win32.Trojan.Vebzenpak.Akfi, Win32.Trojan.Encoder.Frv
TrendMicro -> Trojan.Win32.MALREP.THCACBA, TROJ_GEN.R002H09CD21
---
© Генеалогия: более ранний вариант >> RunExeMemory
Изображение — логотип статьи
К зашифрованным файлам добавляется случайное расширение с 6-знаками:
.<random{6}>
Примеры таких расширений:
.ft5p7u
.g1yfw9
.rb8tco
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину марта 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: Read me, if you want to recover your files.txt
Содержание записки о выкупе:
Restoring all files on your network -> 986 BTC
It's your identifier:
28828378515309952921
23179835766942351018
38430402818695651204
43781968060238050390
48032535212971359486
We will contact you ourselves
*If you don't pay us, then expect a wave of DDoS attacks
Перевод записки на русский язык:
Восстановление всех файлов в сети -> 986 BTC
Это ваш идентификатор:
28828378515309952921
23179835766942351018
38430402818695651204
43781968060238050390
48032535212971359486
Мы свяжемся с вами сами
* Если вы нам не заплатите, то ждите волны DDoS-атак
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Read me, if you want to recover your files.txt - название файла с требованием выкупа;
RunExeMemory.exe - название вредоносного файла;
trash.exe, dump.exe - названия вредоносных файлов;
<random>.exe - случайное название вредоносного файла. Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.ft5p7u
C:\Users\seyret\Desktop\ms_visual_basic6\VB98\VB6.OLB
C:\Users\Admin\AppData\Local\Temp\trash.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >> TG>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Вариант от 7 апреля 2021:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >> TG>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Сообщение >>
Сообщение >>
Пример расширения: .ilegx6
Результаты анализов: VT / VT + AR
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Сообщение >>
Пример расширения: .ilegx6
Результаты анализов: VT / VT + AR
Вариант от 26 августа 2021:
Файл: Lgts.exe
Обнаружения:
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.uuodj
BitDefender -> Trojan.Agent.FMCT
DrWeb -> Trojan.Encoder.34290
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIG
Kaspersky -> Trojan.Win32.Agent.xaipar
Malwarebytes -> Malware.AI.1904552035
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Erica!1.D8FB (CLASSIC)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.11cb0ed2
Вариант от 2 сентября 2021:
Расширение: .481246
Файл: 3.exe, e_KJpx.exe
Обнаружения:
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.eozfw
BitDefender -> Trojan.Agent.FMCT
DrWeb -> Trojan.Encoder.34290
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIG
Kaspersky -> Trojan.Win32.Bingoml.cgvl
Malwarebytes -> Malware.AI.3707345050
Microsoft -> Ransom:Win32/Cryptolocker.PAF!MTB
Rising -> Ransom.Erica!1.D8FB (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.10cef088
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + myMessage + myMessage ID Ransomware (ID as RunExeMemory) Write-up, Topic of Support *
Внимание! Файлы можно дешифровать! Рекомендую обратиться по ссылке к Michael Gillespie >>
Thanks: GrujaRS, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
