Combo13 Ransomware
Combo13 Wiper Ransomware
(шифровальщик-вымогатель, деструктор, стиратель) (первоисточник)
Translation into English
Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. На самом деле файлы перезаписываются случайными символами. Оригинальное название: в записке не указано. На файле написано: IS_room_start.exe. Уплата выкупа бесполезна!
---
Обнаружения:
DrWeb -> Trojan.Encoder.33875
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> MSIL/Filecoder.AHV
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:Win32/Higuniel.A
Rising -> Malware.Undefined!8.C (CLOUD)
Qihoo-360 -> Win32/Trojan.Generic.HgIASS4A
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan.Agent.Efbo
TrendMicro -> TROJ_GEN.R002H09DG21
---
© Генеалогия: ✂️ HiddenTear >> Combo13
К зашифрованным файлам добавляется расширение: .combo13
Symantec -> Trojan.Gen.MBT
Tencent -> Msil.Trojan.Agent.Efbo
TrendMicro -> TROJ_GEN.R002H09DG21
---
© Генеалогия: ✂️ HiddenTear >> Combo13
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .combo13
Фактически используется составное расширение: .id-1E192D2A.[xmmh@tutanota.com].combo13
Используется формат расширения из Dharma Ransomware, вероятно для прикрытия, чтобы обмануть пострадавших.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: FILES ENCRYPTED.TXT
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: FILES ENCRYPTED.TXT
Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supportdata@cock.li
Write this ID in the title of your message 1E192***
In case of no answer in 24 hours write us to theese e-mails:xmmh@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
How Can I Buy Bitcoin?
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы зашифрованы из-за проблемы с безопасностью вашего ПК. Если вы хотите их вернуть, пишите нам на почту supportdata@cock.li
Напишите этот ID в теме сообщения 1E192***
В случае отсутствия ответа за 24 часа пишите нам на эти email-адреса:xmmh@tutanota.com
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам расшифровщик, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете прислать нам 1 файл для бесплатной расшифровки. Общий размер файлов не более 1 Мб (без архива), и в файлах не должно быть ценной информации. (базы данных, бэкапы, большие таблицы excel и т.д.)
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Купить биткойны' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
Как я могу купить биткойн?
Внимание!
Не переименовывайте зашифрованные файлы.
Не пробуйте расшифровать ваши данные сторонними программами, это может повредить данные.
Расшифровка ваших файлов с помощью третьих лиц выйдет дороже (они прибавят свой гонорар к нашему) или вы станете жертвой мошенников.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
FILES ENCRYPTED.TXT - название файла с требованием выкупа;
FILES ENCRYPTED.bat - командный файл для запуска вредоноса;
IS_room_start.exe - название вредоносного файла.
IS_room_start.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: xmmh@tutanota.com, supportdata@cock.li
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as Combo13 Wiper) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
id-ransomware.blogspot.com/p/blog-page_7.html
ОтветитьУдалить