Ghostbin

Ghostbin Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $100 в BTC, чтобы вернуть файлы. Оригинальное название: Ghostbin. На файле написано: erawosnar.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32291
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.mdqet
BitDefender -> Gen:Variant.Ursu.804351
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YH
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FT.A!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Hoz
TrendMicro -> Ransom_Encoder.R002C0PEG21
---

© Генеалогия: ??? >> Ghostbin

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sick


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HELP.txt

Содержание записки о выкупе:
For further instructions visit: xxxxs://ghlostbin.com/paste/yuLbZ

Перевод записки на русский язык:
Для инструкций посетите: xxxxs://ghlostbin.com/paste/yuLbZ

Скриншот страницы сайта

Скриншот кода страницы сайта

Содержание текста на сайте:

Ghostbin

YOUR SYSTEM IS NOT SAFE

In some seconds the process of enrcrypting all your data with one of the highest grade encryption standards due to a hole in your network security is finished

THE GOOD NEWS  

Your data can be fully restored by using a PRIVATE KEY  which is stored on our secure server. 

THE BAD NEWS

After 24 hours this key gets automatically deleted and your data is lost. 

The only reason why we implemented the automatic destroying of the private key is to increase the pressure on our victims to pay on time. 

If your data is useless to you we apologize for the time the re-setup will take.

In both cases you will never get attacked by our group again. We are criminals but with sense of decency

We are neither interested in your data nor in you as a person.

Our only Goal is MONEY!

HOW TO RESTORE YOUR FILES

Transfer USD 100.- in Bitcoin currency to the following address: 

bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j

+As Transaction -subject /-description /-note  fill in your E-mail address where you want the private key to be sent to.

Good Buy! 

© Copyright 2020

Содержание текста на русский язык: 

Ghostbin

ВАША СИСТЕМА НЕБЕЗОПАСНА

Через несколько секунд процесс шифрования всех ваших данных с использованием одного из самых высоких стандартов шифрования из-за бреши в вашей сетевой безопасности будет завершен.

ХОРОШИЕ НОВОСТИ

Ваши данные могут быть полностью восстановлены с помощью ЧАСТНОГО КЛЮЧА, который хранится на нашем защищенном сервере.

ПЛОХИЕ НОВОСТИ

Через 24 часа этот ключ автоматически удаляется, и ваши данные теряются.

Единственная причина, по которой мы внедрили автоматическое уничтожение закрытого ключа, - это усилить давление на наших жертв, чтобы они вовремя платили.

Если ваши данные бесполезны для вас, мы приносим свои извинения за время, необходимое для повторной настройки.

В обоих случаях наша группа больше никогда не нападет на вас. Мы преступники, но с чувством приличия

Нас не интересуют ни ваши данные, ни вы как личность.

Наша единственная цель - ДЕНЬГИ!

КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ

Переведите 100 долларов США в валюте Биткойн на следующий адрес:

bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j

+ В поле Transaction -subject / -description / -note введите свой адрес электронной почты, на который вы хотите отправить закрытый ключ.

До свидания!

© Copyright 2020

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.txt - название файла с требованием выкупа;
erawosnar.exe - случайное название вредоносного файла.

Скриншот экрана с сообщением при открытии зашифрованного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: - 
BTC: bc1qx7880kzmcy8xuercsaxx002jvk8m0dp2f8233j
URL: hxxxs://ghostbin.com

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, JSB, MB

MD5: 08c1b410a3c20bcc4cd1ee2906c240af

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.