RCRU64

RCRU64 Ransomware

Aliases: Desktopini, FilesRecoverEN, Kamira, Sc0rpio, Luciferkobs

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 GCM и RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: RCRU64.exe, rcru_64.exe, Desktopini.exe. Использует библиотеку Crypto++.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33749
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OFR
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Filecoder!MSR
Rising -> Trojan.Filecoder!8.68 (CLOUD), Ransom.Agent!8.6B7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09D121
---

© Генеалогия: Ouroboros > VoidCrypt >> RCRU64

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: .<random{4}>

Фактически используется составное расширение, которое добавляется к оригинальным названиям файлов, Пример такого расширения у  зашифрованного файла: [ID=rfeHv0-Mail=FilesRecoverEN@Gmail.com].03rK

В ID содержится 6 знаков.

Шаблон и пример кратко можно записать так: 

[ID=<xxxxxx>-Mail=<email>].<xxxx>

[ID=<rfeHv0>-Mail=<email>].03rK

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта - начало апреля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Одна записка с требованием выкупа называется Read_Me!_.txt:

Содержание записки Read_Me!_.txt:

Your Data Locked.

To Get Decryption Instructions Email Us ,Don't Edit Files Or Folders ! 

ID : rfe***

Email Address : FilesRecoverEN@Gmail.com

Перевод записки на русский язык:

Ваши данные блокированы.

Для получения инструкции по расшифровке пишите на email, не изменяйте файлы или папки!

ID: rfe***

Email-адрес: FilesRecoverEN@Gmail.com

Содержание записки ReadMe_Now!.hta:

All Your Files Have Been Encrypted !

All Your Files Encrypted Due To A Security Problem With Your PC. If You Need Your Files Please Send Us E-mail To Get Decryption Tools .

The Only Way Of Recovering Files Is To Purchase For Decryption Tools ( Payment Must Be Made With Bitcoin ) . If You Do Not E-mail Us After 48 Hours Decryption Fee Will Double.

Our E-mail Address : FilesRecoverEN@Gmail.com

Your Personal ID : rfe***

Sent E-mail Should Be Contains Your Personal ID.If Don't Get a Response Or Any Other Problem Write Us E-mail At : FilesRecoverEN@Protonmail.com

Check Your Spam Folder Too.

---

What Guarantee Do We Give You ?

You Can Send Some Files For Decryption Test( Before Paying ). File Size Must Be Less Than 2MB And Files Should Not Contains Valuabe Data Like (Backups , Databases etc ... ) .

--------------------------------------------------------------------------------

How To Buy Bitcoins

Get Buy Bitcoin Instructions At LocalBitcoins : 

https://localbitcoins.com/guides/how-to-buy-bitcoins

Buy Bitcoin Instructions At Coindesk And Other Websites By Searching At Google :

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

--------------------------------------------------------------------------------

Attention !!

Do Not Edit Or Rename Encrypted Files.

Do Not Try To Decrypt Files By Third-Party Or Data Recovery Softwares It May Damage Files Forever.

In Case Of Trying To Decrypt Files With Third-Party,Recovery Sofwares This May Make The Decryption Harder So Prices Will Be Rise.

Перевод записки на русский язык:

Все ваши файлы зашифрованы!

Все ваши файлы зашифрованы из-за проблем с безопасностью вашего ПК. Если вам нужны ваши файлы, отправьте нам email, чтобы получить средства дешифрования.

Единственный способ восстановить файлы - это приобрести инструмент дешифрования (оплата должна быть в биткойнах). Если вы не напишите нам на email через 48 часов, плата за расшифровку удвоится.

Наш email-адрес: FilesRecoverEN@Gmail.com

Ваш персональный ID: rfe***

Отправленное email должно содержать ваш личный ID. Если не получите ответа или возникнут другие проблемы, напишите нам email на адрес: FilesRecoverEN@Protonmail.com

Также проверьте папку Спам.

---

Какие гарантии мы вам даем?

Вы можете отправить некоторые файлы на расшифровку (перед оплатой). Размер файла должен быть меньше 2 МБ, и файлы не должны содержать таких ценных данных, как (резервные копии, базы данных и т.д.).

-------------------------------------------------- ------------------------------

Как купить биткойны

Получите инструкции по покупке биткойнов на LocalBitcoins:

https://localbitcoins.com/guides/how-to-buy-bitcoins

Купите биткойн-инструкции в Coindesk и других сайтах, ищите в Google:

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

-------------------------------------------------- ------------------------------

Внимание !!

Не редактируйте и не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать файлы другими или восстановительными программами, это может навсегда повредить файлы.

В случае попытки расшифровать файлы с помощью других программ для восстановления, это может усложнить дешифрование, поэтому цены возрастут. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Деструктивные действия 

Обходит UAC, отключает защиту, изменяет ключи реестра. 

Удаляет теневые копии файлов, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол, меняет правила групповой политики  командами:
C:\Windows\system32\cmd.exe /c reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f&vssadmin.exe Delete Shadows /All /Quiet&wmic shadowcopy delete&netsh advfirewall set currentprofile state off&netsh firewall set opmode mode=disable&netsh advfirewall firewall set rule group="Network Discovery" new enable=Yes

Завершает следующие процессы с помощью команд: 
C:\Windows\system32\cmd.exe /c taskkill /im notepad.exe&taskkill /im msftesql.exe&taskkill /im sqlagent.exe&taskkill /im sqlbrowser.exe&taskkill /im sqlservr.exe&taskkill /im sqlwriter.exe&taskkill /im oracle.exe&taskkill /im ocssd.exe&taskkill /im dbsnmp.exe&taskkill /im synctime.exe&taskkill /im agntsvc.exe&taskkill /im mydesktopqos.exe&taskkill /im isqlplussvc.exe&taskkill /im xfssvccon.exe&taskkill /im mydesktopservice.exe&taskkill /im ocautoupds.exe&taskkill /im agntsvc.exe&taskkill /im encsvc.exe&taskkill /im firefoxconfig.exe&taskkill /im tbirdconfig.exe&taskkill /im ocomm.exe&taskkill /im mysqld.exe&taskkill /im mysqld-nt.exe&taskkill /im mysqld-opt.exe&taskkill /im dbeng50.exe&taskkill /im sqbcoreservice.exe&taskkill /im excel.exe&taskkill /im infopath.exe&taskkill /im msaccess.exe&taskkill /im mspub.exe&taskkill /im onenote.exe&taskkill /im outlook.exe&taskkill /im powerpnt.exe&taskkill /im steam.exe&taskkill /im thebat.exe&taskkill /im thebat64.exe&taskkill /im thunderbird.exe&taskkill /im visio.exe&taskkill /im winword.exe&taskkill /im wordpad.exe

➤ Подробности шифрования: 

Добавляет 0x06 байтов "00 75 64 69 6A 3D" в качестве маркера файла, затем 0x100 байтов, которые представляют собой зашифрованный RSA-2048 массив двоичных данных. Используемая библиотека Crypto++ шифрует до 0x7CFF0 файла. Используется случайный ключ CryptGenRandom для каждого файла.

Список файловых расширений, подвергающихся шифрованию:

.$$$, .$db, .$er, .^^^, .__a, .__b, ._xls, ._xlsx, .0, .00, .000, .001, .002, .003, .113, .123, .12m, .1cd, .4dd, .4dl, .73b, .7z, .7z.001, .7z.002, .7z.003, .7z.004, 

.7z.005, .7zip, .7-zip, .a00, .a01, .a02, .ab, .aba, .abbu, .abcddb, .abf, .abk, .abs, .abu, .abu1, .abx, .ac, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .ace, 

.acp, .acr, .adb, .ade, .adf, .adi, .adn, .adp, .aea, .afi, .agg, .agt, .ain, .alf, .alz, .apex, .apk, .apm, .apz, .aq, .aqz, .ar, .arc, .archiver, .arduboy, .arh, .ari, .arj, .ark, .as4, .asd, .ashbak, .ask, .asp, .aspx, .asr, .ast, .asv, .asvx, .ate, .ati, .aws.lz, .ayt, .b1, .b64, .b6z, .ba, .ba0, .ba6, .ba7, .ba8, .ba9, .bac, .backup, .backup1, .backupdb, .bak, .bak2, .bak3, .bakx, .balz, .bas, .bat, .bbb, .bbz, .bc3, .bck, .bckp, .bcm, .bcmx, .bcp, .bdb, .bdf, .bdoc, .bff, .bh, .bhx, .bif, .bifx, .bina, .bk1, .bkc, .bkf, .bko, .bkp, .bks, .bkup, .bkz, .blend1, .blend2, .bm3, .bmk, .bndl, .boe, .boo, .bookexport, .box, .bpa, .bpb, .bpm, .bpn, .bps, .bri, .btc, .btr, .bundle, .bup, .bz, .bz2, .bz2, .bza, .bzip, .bzip2, .c00, .c01, .c02, .c10, .caa, .cab, .caf, .car, .cat, .cb7, .cba, .cbk, .cbr, .cbs, .cbt, .cbu, .cbz, .ccctask, .cdb, .cdi, .cdz, .cell, .cenon, .cfu, .chi, .chm, .chq, .chw, .ck9, .ckp, .clx, .cma, .cmd, .cmf, .cnm, .comppkg.hauptwerk.rar, .comppkg_hauptwerk_rar, .cp9, .cpd, .cpgz, .cpio, .cpt, .cramfs, .crds, .crtx, .crypt1, .crypt10, .crypt12, .crypt14, .crypt5, .crypt6, .crypt7, .crypt8, .crypt9, .csd, .csm, .css, .csv, .ctx, .ctz, .cvr, .cw, .cxarchive, .czip, .d00, .d01, .da0, .daa, .dab, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .dar, .daschema, .dash, .dat, .db, .db.crypt, .db.crypt12, .db.crypt8, .db2, .db3, .dba, .dbc, .dbf, .db-journal, .dbk, .dbo.wa, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dcb, .dct, .dcx, .dd, .ddl, .deb, .def, .des, .dex, .dfg, .dgc, .dicproof, .dif, .dim, .dis, .disposition-notification, .dist, .diy, .dl_, .dlis, .dmg, .dna, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dov, .dp1, .dpb, .dqy, .dsb, .dsk, .dsn, .dss, .dt, .dtsx, .dxl, .dz, .e01, .ear, .ebabackup, .ecf, .ecml, .eco, .ecs, .ecsbx, .ecx, .edb, .edx, .edxz, .edz, .eftx, .efu, .efw, .egg, .email, .emf, .emix, .eml, .emlx, .enz, .epf, .epi, .epim, .ert, .erx, .ess, .exb, .exe_0002, .exportedui, .ext, .ezm, .f, .f3z, .fat, .fav, .fbc, .fbf, .fbk, .fbu, .fbw, .fcd, .fcs, .fdb, .fdp, .ffa, .ffl, .ffo, .fft, .ffx, .fh, .fhf, .fic, .fil, .flash, .flexolibrary, .flka, .flkb, .fm, .fm5, .fmp, .fmp12, .fmpsl, .fods, .fol, .fp, .fp3, .fp4, .fp5, .fp7, .fp8, .fpsx, .fpt, .frm, .ftb, .ftmb, .ful, .fwbackup, .fza, .fzb, .fzpz, .gar, .gb1, .gb2, .gbp, .gca, .gdb, .gho, .ghs, .gmp, .gmz, .gnm, .gnumeric, .gpt, .grdb, .gs-bck, .gsheet, .gwi, .gxk, .gz, .gz2, .gza, .gzi, .gzip, .ha, .hbc, .hbc2, .hbe, .hcdt, .hdb, .hfs, .his, .hki, .hki1, .hki2, .hki3, .hol, .hpk, .hpkg, .hqx, .htm, .html, .hxi, .hxq, .hxr, .hxs, .hxw, .hyp, .iadproj, .iaf, .ib, .ibc, .ibd, .ibk, .ical, .icalendar, .icbu, .ice, .icf, .ics, .idb, .idx, .ihex, .ihx, .iif, .img, .imm, .imp, .inprogress, .ipd, .ipg, .ipj, .ipk, .ish, .iso, .isx, .ita, .itdb, .itw, .iv2i, .ize, .j, .j01, .jar, .jar.pack, .java, .jbk, .jdc, .jet, .jex, .jgz, .jhh, .jic, .jpa, .jps, .js, .json, .jsonlz4, .jtx, .kb2, .kdb, .kexi, .kexic, .kexis, .kfl, .kgb, .kmnb, .kmr, .kmz, .kz, .layout, .lbf, .lbr, .lbrzpaq, .lcb, .ldabak, .ldf, .ldi, .ldif, .lef, .lemon, .lgc, .lhzd, .libzip, .list, .lit, .llx, .lnx, .log, .lpaq1, .lpaq5, .lpaq8, .lpkg, .lqr, .luminar, .lwx, .lxo1, .lz4, .lzh, .lzm, .lzma, .lzma.par2, .lzma2, .lzma86, .lzo, .lzx, .mab, .mabk, .mac.qbb, .maf, .mail, .maildb, .mailhost, .maq, .mar, .marshal, .mas, .mau, .mav, .maw, .mbf, .mbf, .mbg, .mbk, .mbox, .mbr, .mbs, .mbw, .mbx, .mbz, .md, .mdb, .mdbackup, .mdbhtml, .mddata, .mde, .mdf, .mdinfo, .mdn, .mdt, .mem, .memo, .mfd, .mhp, .mht, .mhtml, .mig, .mim, .mime, .mint, .mlm, .mlproj, .mmdf, .mme, .mmf, .mou, .mozeml, .mozlz4, .mpb, .mpd, .mpkg, .mpq, .mrg, .msb, .msdb, .msg, .msim, .mslz, .mso, .msp, .mstnef, .ms-tnef, .mud, .multidisk, .mv_, .mwb, .myd, .myi, .mynotesbackup, .mzp, .nar, .nb, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .nch, .nco, .ncss, .nd, .nda, .ndf, .nex, .nfb, .nfc, .nick, .nk2, .nlk, .nmbtemplate, .nnt, .noy, .npf, .npk, .nps, .nrbak, .nrmlib, .nrs, .ns2, .ns3, .ns4, .nsf, .nsis, .nst, .ntfs, .numbers, .numbers-tef, .nv, .nv2, .nwbak, .nwdb, .nws, .nyf, .nz, .oab, .oar, .oas, .obi, .obk, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oeb, .oft, .ogw, .ogwu, .old, .olk, .olk14category, .olk14contact, .olk14event, .olk14group, .olk14mailaccount, .olk14message, .olk14msgattach, .olk14msgsource, .olk14note, .olk14pref, .olk14signature, .olk14task, .olm, .one, .onepkg, .ooxml, .opk, .opml, .oqy, .ora, .ori, .orig, .orx, .oss, .ost, .otg, .oth, .otm, .otp, .ots, .ott, .outlook97, .owc, .oxt, .oyx, .oz, .p01, .p10, .p19, .p7r, .p7s, .p7z, .p96, .pa, .pab, .pack.gz, .package, .pae, .pak, .pan, .paq, .paq6, .paq7, .paq8, .paq8f, .paq8jd, .paq8l, .paq8o, .paq8p, .par, .part1, .pax, .pba, .pbb, .pbd, .pbf, .pbi, .pbj.p97, .pbx, .pbx5script, .pbxscript, .pcv, .pdb, .pdf, .pdm, .pea, .pem, .pet, .pf, .pfi, .php, .pim, .pima, .pip, .pit, .piz, .pk3, .pk4, .pkg, .pkg.tar.xz, .pkpass, .plist, .pm1, .pm3, .pmc, .pmd, .pmdx, .pmi, .pml, .pmm, .pmvx, .pmx, .pnz, .pop, .pot, .potm, .potx, .ppam, .ppmd, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pqb, .pqb-backup, .presto, .prf, .prn, .prs, .prv, .psa, .pst, .psz, .ptb, .ptk, .pub, .pup, .puz, .pvc, .pvhd, .pvmz, .pvoc, .pwa, .pwi, .q, .qb2016, .qb2019, .qba, .qba.tlg, .qbb, .qbj, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbstbl2.usa, .qbw, .qbx, .qby, .qcow2, .qda, .qic, .qpw, .qry, .qsf, .qsm, .qss, .qst, .quad, .qualsoftcode, .quicken2015backup, .quicken2016backup, .quicken2017backup, .quickenbackup, .qv, .qvd, .qwc, .r0, .r00, .r01, .r02, .r03, .r04, .r1, .r2, .r21, .r2d, .r30, .rar, .rar5, .rbc, .rbf, .rbk, .rbs, .rctd, .rcv, .rdb, .rdf, .rev, .rge, .rk, .rmbak, .rmgb, .rmgc, .rmp, .rnc, .rod, .rodx, .rp9, .rpd, .rpm, .rpmsg, .rrr, .rsd, .rss, .rte, .rtf, .rwz, .rz, .s00, .s01, .s02, .s09, .s7z, .safenotebackup, .sall, .sar, .sas7bdat, .sav, .sbb, .sbd, .sbf, .sbs, .sbu, .sbx, .schd, .scx, .sda, .sdb, .sdc, .sdf, .sdn, .sdoc, .sdocx, .sdx, .sdy, .sea, .sen, .sfg, .sfs, .sfx, .sh, .shar, .shk, .shr, .si, .sifz, .sig, .sim, .sis, .sit, .sitx, .skb, .sldm, .sldx, .slk, .slp, .smd, .sme, .smp, .smpf, .smzip, .sn1, .sn2, .sna, .snappy, .snb, .sns, .snz, .sp_send_dbmail, .spa, .spd, .spf, .spg, .spi, .split, .spm, .spq, .sps, .spt, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .squashfs, .sqx, .sqz, .srep, .srr, .srs, .stc, .stg, .stproj, .sv$, .sv2i, .swm, .sxc, .sy_, .sys, .tar, .tar.bz2, .tar.gz, .tar.gz2, .tar.lz, .tar.lzma, .tar.xz, .tar.z, .taz, .tbb, .tbk, .tbz, .tbz2, .tcx, .tdb, .te, .teacher, .temx, .text, .tg, .tgs, .tgz, .thmx, .tib, .tibkp, .tibx, .tig, .tini, .tis, .tlg, .tlz, .tlzma, .tmd, .tmp, .tmr, .tmv, .tmvt, .tnef, .tnf, .tps, .tpsr, .tpz, .trc, .trm, .trn, .trs, .tsv, .ttbk, .tx_, .txt, .txz, .tz, .tzst, .u3p, .ubz, .uc2, .uci, .udb, .udcx, .udf, .udl, .uefi, .ufs.uzip, .uha, .uos, .usr, .uue, .uzed, .uzip, .v12, .v2i, .vbk, .vbm, .vbox-prev, .vcard, .vcf, .vcs, .vdi, .vdi, .vem, .vfb, .vfs, .vhd, .vhdx, .vib, .vip, .vis, .vlb, .vlm, .vmcz, .vmdk, .vms, .vmss, .voca, .vom, .vpcbackup, .vpd, .vpk, .vrb, .vrge08contact, .vrge08event, .vrge08group, .vrge08message, .vrge08note, .vsb, .vsi, .vsm, .vvv, .vwi, .w01, .wa, .wab, .waff, .walletx, .war, .warc, .wastickers, .wb1, .wb3, .wbb, .wbcat, .wbk, .wbx, .wdb, .wdseml, .wdz, .whl, .wim, .win, .wjf, .wk1, .wk2, .wk3, .wk4, .wki, .wkq, .wks, .wku, .wlb, .wls, .wmdb, .wot, .wpb, .wps, .wq1, .wq2, .wr1, .wrk, .wspak, .wux, .wx, .xapk, .xar, .xbk, .xdb, .xef, .xez, .xip, .xl, .xla, .xlam, .xlb.pmv, .xlc, .xlc.wk1, .xld, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlshtml, .xlsm, .xlsmhtml, .xlsx, .xlt, .xlthtml, .xltm, .xltx, .xlw, .xmcdz, .xml, .xmlff, .xoj, .xopp, .xpi, .xps, .xst, .xx, .xxe, .xz, .xzm, .y, .yrcbck, .yz, .yz1, .z, .z00, .z01, .z02, .z03, .z04, .zap, .zbfx, .zdb, .zed, .zfsendtotarget, .zi, .zi_, .zim, .zip, .zip.00x, .zipx, .zix, .zl, .zoo, .zpaq, .zpi, .zsplit, .zst, .zw, .zz (1198 расширений или больше). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и многие другие файлы.

Пропускаемые типы файлов: 

.exe, .dll

Файлы, связанные с этим Ransomware:
Read_Me!_.txt - название файла с требованием выкупа; 

ReadMe_Now!.hta - название другого файла с требованием выкупа; 
RCRU64.exe, rcru_64.exe, Desktopini.exe - названия вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: FilesRecoverEN@Gmail.com, FilesRecoverEN@Protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 1 апреля 2021:

Расширение (шаблон. без точки): [ID=<xxxxxx>-Mail=<email>].<xxxx>

Расширение (без точки): [ID=qMIo8p-Mail=kamira99@tutanota.com].9C8L

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: kamira99@tutanota.com

Файл: rcru_64.exe (kamira99@tutanota.com.exe)

Результаты анализов: VT + IA + HA

Вариант от 4 июля 2021: 

Расширение (без точки): [ID=Nc6GC2-Mail=psychopath7@tutanota.com].q6BH

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: psychopath7@tutanota.com

Вариант от 12 июля 2021: 

Расширение (без точки): [ID=yB1P5o-Mail=Myfiles.sir@gmail.com].IalG

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: Myfiles.sir@gmail.com

=== 2022 ===

Варинт от 5 февраля 2022:

Сообщение >>

Расширение (без точки): [ID=snnCCB-Mail=Sc0rpio@mailfence.com].7v3t

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: Sc0rpio@mailfence.com, Sc0rpio@cock.li

Файл проекта: C:\Users\Unknown\source\repos\ConsoleApplication5\Release\_out.pdb

Файл в Автозагрузке: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktopini.exe

Файл: RCRU_64.exe

Результаты анализов: VT + IA + TG

MD5: 7d1ed67b77f47ba8aadf9a3ac7d0c371

SHA-1: a598e6708c189caeef1fa76064feb4d0155abb3d

SHA-256: 87300e6563c7ac9d8d758b219d135fb8b84a7788419a0ddd8c3470cc1e739eae

Vhash: 026056655d55156058z911z3dz1011z45z97z

Imphash: 54ce29e4dfd1dee03bad48f3aeeaf188

---

Обнаружения: 

DrWeb -> Trojan.Encoder.34930

BitDefender -> DeepScan:Generic.Ransom.Spora.EEC612FD

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIE

Malwarebytes -> Malware.AI.1426879145

Microsoft -> Ransom:Win32/Cryptolocker.PAD!MTB

Rising -> Trojan.Filecoder!8.68 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.11e885d3

TrendMicro -> Ransom_Cryptolocker.R002C0DB622

---

Другие файлы: 

C:\Users\Admin\AppData\h4_svc.bat

C:\Users\Admin\AppData\t2_svc.bat

C:\Users\Admin\AppData\v9_svc.vbs

Вариант от 7 апреля 2022 и позже: 

Доп. название: Starmoon Ransomware

Расширения: .Myu7, .e57j и прочие сгенерированные .<XXXX>

Пример зашифрованного файла: document.html.etl[ID=4Jv3ze-Mail=Starmoon@my.com].Myu7

Пример зашифрованного файла: document.html.log[ID=O8rq11-Mail=Starmoon@my.com].e57j

Записки: ReadMe_Now!.hta, Read_Me!_.txt

Email: Starmoon@my.com, starmoonio@tutanota.com

Файл: Desktopini.exe

Результат анализа: VT + IA + TG

Обнаружения: 

DrWeb -> Trojan.Encoder.35307

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIF

Malwarebytes -> Ransom.Spora

Rising -> Ransom.RCRU!1.DDE5 (CLASSIC)

TrendMicro -> TROJ_GEN.R002C0WDU22

Вариант от 17 апреля 2022: 

Сообщение >>

Сообщение >>

Расширение (без точки): [ID=tC3C3O-Mail=Rcru64@cock.lu].oKby 

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: Rcru64@cock.lu

Файл: Desktopini.exe

Результаты анализов: VT + HA + TG

Обнаружения: 

DrWeb -> Trojan.Encoder.35307

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIF

TrendMicro -> TROJ_GEN.R002C0WDU22

Вариант от 7 апреля и 17 мая 2022: 

Сообщение >>

Сообщение >>

Расширение (без точки): [ID=vyLjMB-Mail=Leoxrinse234@mailfence.com].KmAd

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: Leoxrinse234@mailfence.com

Результаты анализов: VT + IA

Результаты анализов: VT + IA 

Обнаружения: 

DrWeb -> Trojan.Encoder.35588

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIF

TrendMicro -> Ransom_Cryptolocker.R002C0DD822

Вариант от 28 апреля 2022: 

Сообщение >>

Дополнительное название: Lucifer Kobs Ransomware

Расширение: [ID=XXXXXX-Mail=Lucifer.kobs@mailfence.com].<random{4}> 

Записка: Read_Me!_.txt, ReadMe_Now!.hta

Email: Lucifer.kobs@mailfence.com

Результаты анализов: VT 

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.35262

BitDefender -> DeepScan:Generic.Ransom.Spora.ED409FF5

ESET-NOD32 -> A Variant Of Generik.DQBMFUM

Microsoft -> Trojan:Win32/Wacatac.B!ml

TrendMicro -> TROJ_GEN.R002C0WE222

Вариант от 16 мая 2022: 

Сообщение >>

Расширение (пример): [ID=y6Cllb-Mail=FreedomTeam@mail.ee].0wqA

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: FreedomTeam@mail.ee, Freedom29@Tutanota.com

Результаты анализов: VT + IA + TG

Обнаружения: 

DrWeb -> Trojan.Encoder.35346

BitDefender -> DeepScan:Generic.Ransom.Spora.9F88ACA2

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIF

Вариант от 17 мая 2022:

Сообщение >>

Расширение (пример): [ID=47rpar-Mail-redem.mikhail17662@gmail.com].vgvx

Расширение (пример): [ID=47rpar-Mail=redem.mikhail17662@gmail.com].vgvx

Записки: Read_Me!_.txt, ReadMe_Now!.hta

Email: redem.mikhail17662, Dor.file@bk.ru

Файл: Desktopini.exe

Результаты анализа: VT + IA 

Обнаружения: 

DrWeb -> Trojan.Siggen21.30238

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIF

Microsoft -> Ransom:Win32/SporaCrypt.PA!MTB

Rising -> Ransom.RCRU!1.DDE5 (CLASSIC)

TrendMicro -> Ransom.Win32.VOIDCRYPT.SMYXCJ2

Вариант от 23 мая 2022: 

Сообщение >> 

Доп. название: Nordteam Ransomware

Расширение (шаблон): [ID=xxxxxx-Mail-<email>].xxxx

Записка: ReadMe.hta, [victim_ID] ReadMe.txt

Файл: Desktopini.exe

Результаты анализа: VT + IA

Обнаружения: 

DrWeb -> Trojan.Encoder.35365

ESET-NOD32 -> A Variant Of Win32/Filecoder.OIF

TrendMicro -> TROJ_GEN.R002C0WEN22

Вариант от 16 октября 2022:

Сообщение на форуме >>

Расширение: .0kK3

Пример зашифрованного файла: document.html[ID=v05dAH-Mail=decrypt_.files@mailfence.com].0kK3

Записка: Read_Me!_.txt

Email: decrypt_.files@mailfence.com, decrypt_.files@cyberfear.com

*

Вариант от 25 ноября 2022:

С этого варианта последующие, вероятно, относятся к измененному RCRU64 Ransomware.

Сообщение на форуме >>

Расширение: .HHE

Пример зашифрованного файла: document.html_[ID-HONKM_Mail-jounypaulo@mail.ee].HHE

Записка: Restore_Your_Files.txt

Email: jounypaulo@mail.ee, jounypaulo@tutanota.com

=== 2023 ===

Вариант от 22 января 2023:

Расширение: .AZ7

Пример заш-файла: Document.pdf_[ID-2LGKG_Mail-ransomwarebit@gmail.com].AZ7

Записки: ReadMe.hta, Restore_Your_Files.txt

Email: ransomwarebit@gmail.com, ransomwarebitx@gmail.com

Мьютексы: несколько

Файлы: Xinfecter.exe

<email_ransom>_Fast.exe - для быстрого режима шифрования

<email_ransom>_Official.exe  - для обычного режима шифрования

S-8459.vbs, S-2153.bat, S-6748.bat

IOC: VT, IA, TG, AR

MD5: e07ee232400dafd802235b90e0e7e056

Вариант от 24 января 2023:

Сообщение на форуме >>

Расширение на конце: .LRO

Полное расширение: _[ID-LQIWB_Mail-pm24@tuta.io].LRO

Записка: Restore_Your_Files.txt

Email: pm24@tuta.io

Вариант от 22 марта 2023 или раньше: 

Сообщение на форуме >>

Расширение: .M4X

Расширение: _[ID-RRF0H_Mail-dr.file2022@gmail.com].M4X

Пример заш-файла: Document.pdf_[ID-RRF0H_Mail-dr.file2022@gmail.com].M4X

Записка: Restore_Your_Files.txt

Email: dr.file2022@gmail.com, dr.files@onionmail.org

Вариант от 5 февраля 2023:

Пример заш-файла: Document.pdf_[ID-ALK8Z_Mail-RESTDB@my.com].TGH

Записки: ReadMe.hta, Restore_Your_Files.txt

Мьютексы: несколько

Файлы: Xinfecter.exe

***_Fast.exe - для быстрого режима шифрования

***_Official.exe  - для обычного режима шифрования

S-8459.vbs, S-2153.bat, S-6748.bat

IOC: VT, IA

MD5: 390438dfc8165af15fd247fed60b61bf

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37400

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONB

Microsoft -> Trojan:Win32/FileCoder.ARA!MTB

Rising -> Ransom.RCRU!1.DDE5 (CLASSIC)

TrendMicro -> Ransom.Win32.VOIDCRYPT.THIBFBC

Обновление от 14 апреля 2023:

Статья на сайте Sangfor >>

Вариант от 20 апреля 2023 или раньше: 

Сообщение на форуме >>

Расширение: .Vypt

Расширение: _[ID-L1LXB_Mail-vyptteam@zohomail.eu].Vypt

Пример заш-файла: Document.pdf_[ID-L1LXB_Mail-vyptteam@zohomail.eu].Vypt

Записка: Restore_Your_Files.txt

Email: vyptteam@zohomail.eu

Telegram: @VyptTeam

Вариант от 16 мая 2023 и позже: 

Сообщение на форуме >>

Расширение: .DFI

Пример заш-файла: Document.pdf_[ID-CGTD5_Mail-kilook200@gmail.com].DFI

Записки: Restore_Your_Files.txt, ReadMe.hta

Email: kilook200@gmail.com

Telegram: @kilook200

Файл: kilook200@gmail.com_Manual.exe

IOC: VT, IA

MD5: 0e246cfd13513af32939a9743d24b0f4

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.37400

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONB

Вариант от 21 августа 2023 или раньше: 

Сообщение на форуме >>

Пример заш-файла: Document.pdf_[ID-DXNVI_Mail-Sc.computer1992@Gmail.com].L7I

Записка: Restore_Your_Files.txt

Email: Sc.computer1992@Gmail.com, Helpyoudc1966@Gamil.com

Вариант от 21 сентября 2023 или раньше: 

Пример заш-файла: Document.pdf_[ID-5CYHH_Mail-silolopi736@gmail.com].AIA

Записка: Restore_Your_Files.txt

Email: silolopi736@gmail.com

Telegram: @silolopi736

2024

Вариант от 20 января 2024: 

Сообщение на форуме >>

Пример заш-файла: Document.pdf_[ID-DLNKY_Mail-lohikol22@gmail.com].E7M

Записки: ReadMe.hta, Restore_Your_Files.txt

Email: lohikol22@gmail.com

Мьютекс: ShimCacheMutex

Файлы: xinfecter.exe 

lohikol22@gmail.com_Fast.exe - для быстрого режима шифрования

lohikol22@gmail.com_Official.exe  - для обычного режима шифрования

N-Save.sys, S-8459.vbs, S-2153.bat и другие bat-файлы

Пути до файлов: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe

%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.hta

start -> %SystemDrive%\Users\%username%\AppData\S-8459.vbs"

---

IOC: VT, IA

MD5: 203a43af1e5e534027bdee0b732f2596

➤ Обнаружения: 

DrWeb -> Trojan.Siggen25.49190

ESET-NOD32 -> A Variant Of Win32/Filecoder.ONB

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Trojan:Win32/Filecoder!ic

TrendMicro -> Ransom.Win32.RCRU.SMYXDBJ

Вариант от 18 сентября 2024 или раньше: 

Сообщение на форуме >>

Пример заш-файла: Document.pdf_[ID-OPOJL_Mail-Redemption1441@gmail.com].0XQ

Записка: Restore_Your_Files.txt

Email: Redemption1441@gmail.com

Telegram: @Redemption1441

 

Вариант декабря 2024: 

Сообщение на форуме >>

Пример заш-файла: Document.pdf_[ID-L5NQ5_Mail-helptodecryp@aol.com].SIL

Записка: Restore_Your_Files.txt

Email: helptodecryp@aol.com, Decryptdec123@Proton.Me

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as RCRU64)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 Alex Svirid
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.