Ghostbin Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $100 в BTC, чтобы вернуть файлы. Оригинальное название: Ghostbin. На файле написано: erawosnar.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32291
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.mdqet
BitDefender -> Gen:Variant.Ursu.804351
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YH
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FT.A!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hoz
TrendMicro -> Ransom_Encoder.R002C0PEG21
---
© Генеалогия: ??? >> Ghostbin
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .sick
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: HELP.txt
Содержание записки о выкупе:
For further instructions visit: xxxxs://ghlostbin.com/paste/yuLbZ
Перевод записки на русский язык:
Для инструкций посетите: xxxxs://ghlostbin.com/paste/yuLbZ
For further instructions visit: xxxxs://ghlostbin.com/paste/yuLbZ
Перевод записки на русский язык:
Для инструкций посетите: xxxxs://ghlostbin.com/paste/yuLbZ
Скриншот страницы сайта
Скриншот кода страницы сайта
Содержание текста на сайте:
Ghostbin
YOUR SYSTEM IS NOT SAFE
In some seconds the process of enrcrypting all your data with one of the highest grade encryption standards due to a hole in your network security is finished
THE GOOD NEWS
Your data can be fully restored by using a PRIVATE KEY which is stored on our secure server.
THE BAD NEWS
After 24 hours this key gets automatically deleted and your data is lost.
The only reason why we implemented the automatic destroying of the private key is to increase the pressure on our victims to pay on time.
If your data is useless to you we apologize for the time the re-setup will take.
In both cases you will never get attacked by our group again. We are criminals but with sense of decency
We are neither interested in your data nor in you as a person.
Our only Goal is MONEY!
HOW TO RESTORE YOUR FILES
Transfer USD 100.- in Bitcoin currency to the following address:
bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j
+As Transaction -subject /-description /-note fill in your E-mail address where you want the private key to be sent to.
Good Buy!
© Copyright 2020
Содержание текста на русский язык:
Ghostbin
ВАША СИСТЕМА НЕБЕЗОПАСНА
Через несколько секунд процесс шифрования всех ваших данных с использованием одного из самых высоких стандартов шифрования из-за бреши в вашей сетевой безопасности будет завершен.
ХОРОШИЕ НОВОСТИ
Ваши данные могут быть полностью восстановлены с помощью ЧАСТНОГО КЛЮЧА, который хранится на нашем защищенном сервере.
ПЛОХИЕ НОВОСТИ
Через 24 часа этот ключ автоматически удаляется, и ваши данные теряются.
Единственная причина, по которой мы внедрили автоматическое уничтожение закрытого ключа, - это усилить давление на наших жертв, чтобы они вовремя платили.
Если ваши данные бесполезны для вас, мы приносим свои извинения за время, необходимое для повторной настройки.
В обоих случаях наша группа больше никогда не нападет на вас. Мы преступники, но с чувством приличия
Нас не интересуют ни ваши данные, ни вы как личность.
Наша единственная цель - ДЕНЬГИ!
КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ
Переведите 100 долларов США в валюте Биткойн на следующий адрес:
bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j
+ В поле Transaction -subject / -description / -note введите свой адрес электронной почты, на который вы хотите отправить закрытый ключ.
До свидания!
© Copyright 2020
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HELP.txt - название файла с требованием выкупа;
erawosnar.exe - случайное название вредоносного файла.
Скриншот экрана с сообщением при открытии зашифрованного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j
URL: hxxxs://ghostbin.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
См. ниже результаты анализов.
Результаты анализов:
IOC: VT, HA, IA, TG, AR, JSB, MB
MD5: 08c1b410a3c20bcc4cd1ee2906c240af
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
