Disco Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или делает видд, что шифрует данные пользователей, а затем требует выкуп в денежной сумме с подарочных карт Discord Nitro. Оригинальное название: в записке не указано. Использует Discord для вымогательства. На файле написано: DiscoRansomware.exe. Выдает себя за Discord Nitro Generator.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33916
BitDefender -> Gen:Heur.Ransom.MSIL.1, Trojan.GenericKD.36899063
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.csjvw
ESET-NOD32 -> MSIL/Filecoder.AIB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DV!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Agent.Ljjp
TrendMicro -> Trojan.MSIL.ZYX.USMANE521, Trojan.MSIL.DISCO.THEADBA
---
© Генеалогия: Nitro Ransomware >> Disco Ransomware
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .<random> или .<name_PC>
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает затемнённый экран блокировки:
Содержание записки о выкупе:
Dear ***
All of your important documents, desktop, images & videos have been locked and encrypted. There is no other way to open it unless you have trhe decryption key. You have under 5 hours to give us Discord Nitro. If you fail to do so, all of your data will get lost forever.
How do I get the decryptoin key? But a Discord Nitro gift subscription and paste the gift link in the text box. After sumitting a vaild gift link, you should be able to see the decryption key. Copy the decryption key and click on decrpypt files. When decrypting, makesure Windows Defender / any anti-virus is off. If you don't turn it off, not all files will be able to decrypt correctly. Do not rename the files or try guessing the decryption key. If you do so your files may get corrupted.
Перевод записки на русский язык:
Дорогой ***
Все ваши важные документы, рабочий стол, изображения и видео заблокированы и зашифрованы. Нет другого способа открыть его, если у вас нет ключа дешифрования. У вас есть меньше 5 часов, чтобы передать нам Discord Nitro. Если вы этого не сделаете, все ваши данные будут потеряны навсегда.
Как мне получить ключ дешифрования? С подписки Discord Nitro вставьте ссылку в текстовое поле. После отправки действующей подарочной ссылки вы должны увидеть ключ дешифрования. Скопируйте ключ дешифрования и щелкните файлы. При расшифровке убедитесь, что Защитник Windows / любой антивирус выключен. Если вы не отключите его, не все файлы правильно расшифруются. Не переименовывайте файлы и не пытайтесь угадать ключ дешифрования. Иначе ваши файлы могут быть повреждены.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
DiscoRansomware.exe - название вредоносного файла;
DiscoRansomware.pdb - название файла проекта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\DiscoRansomware.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: a41528ac976373f58a96f3185c48ce61
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 25 мая 2021:
Файл проекта: C:\Users\User\source\repos\DiscoRansomware\DiscoRansomware\obj\Debug\Release.pdb
IOC: VT + IA: 0f2f3aa144c479200a65620100598829
➤ Обнаружения:
DrWeb -> Trojan.Encoder.33916
BitDefenderGeneric.Malware.SDB.FAAD66A8
ESET-NOD32A Variant Of MSIL/Filecoder.AID
MicrosoftRansom:MSIL/Cryptolocker.DV!MTB
RisingRansom.Cryptolocker!8.4617 (CLOUD)
SymantecML.Attribute.HighConfidence
TrendMicroPossible_SMHPCRYPTOLOCKER
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: dnwls0719, GrujaRS, S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
