Homemade Ransomware
Aliases: Henry217, LGoGo
(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем сообщает пароль 12345678, чтобы пострадавший мог расшифровать файлы. На файле написано: 自制勒索V2.0.exe. Оригинальное название: в записке не указано. В переводе слова 自制勒索 на ангийский: Homemade ("самодельный").
---
Обнаружения:
DrWeb -> Trojan.Encoder.33891, Trojan.Encoder.34019
BitDefender -> Trojan.GenericKD.46231706
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.qhspp
ESET-NOD32 -> MSIL/Filecoder.AIE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DS!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom_Cryptolocker.R06EC0DE621
---
© Генеалогия: предыдущие варианты >> Homemade, Henry217
К зашифрованным файлам добавляется расширение: .henry217
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на китайскоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
自制勒索V2.0.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Обнаружения:
DrWeb -> Trojan.Encoder.33891, Trojan.Encoder.34019
BitDefender -> Trojan.GenericKD.46231706
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.qhspp
ESET-NOD32 -> MSIL/Filecoder.AIE
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Cryptolocker.DS!MTB
Rising -> Ransom.CryptoLocker!8.4617 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Ransom_Cryptolocker.R06EC0DE621
---
© Генеалогия: предыдущие варианты >> Homemade, Henry217
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .henry217
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало мая 2021 г. Ориентирован на китайскоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
勒索信
你好。你的所有文件都完蛋了。
加密密码:“12345678”
Перевод записки на английский язык:
Blackmail letter
Hello there. All your files are dead.
Encryption password: "12345678"
Перевод записки на русский язык:
Письмо с шантажом
Привет. Все твои файлы мертвы.
Пароль шифрования: "12345678"
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
自制勒索V2.0.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 944e9ab9ed997f96a302cba5527dce55
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Расширение: .hen_ry_217
Файл: SysdiagRelease.exe
Результаты анализов: IOC: VT, AR, IA
MD5: 33b9a63922a14410d8333b2f29624f73
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34048
DrWeb -> Trojan.Encoder.34048
BitDefender -> Trojan.GenericKD.37118489
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJC
Malwarebytes -> Malware.AI.996170931
TrendMicro -> Ransom_HencryCrypt.R002C0DFK21
Вариант от 24 июня 2021:
Расширение: .uz
Файл: VID-20140907-WA0001.mp4.exe
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34077
ESET-NOD32Win32/Filecoder.OHP
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as ***) Write-up, Topic of Support *
Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Michael Gillespie >>
Thanks: Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
