Matryoshka Ransomware
Матрёшка Рансомваре
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $75 в криптовалюте XMR (Monero), чтобы вернуть файлы. Оригинальное название: Matryoshka Ransomware и Матрёшка Рансомваре (указано в записке). На файле написано: NitroSnypa.exe.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.18
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tiwaq
ESET-NOD32 -> A Variant Of MSIL/Filecoder.IX
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.96%
Microsoft -> Ransom:MacOS/Filecoder
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WEG21
---
© Генеалогия: ✂️ HiddenTear >> Matryoshka
К зашифрованным файлам добавляется расширение: .matryoshka
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину мая 2021 г. Ориентирован на англоязычных и русскоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки, в котором используются два языка, английский и русский:
Содержание записки о выкупе на русском языке:
---
Видимо те, кто писал текст на английском языке не являются его носителями, т.к. пропускают английские артикли. Они более старательно хотят показать, что являются носителями русского языка: в русском тексте почти нет ошибок, но часть слов и словосочетаний написаны несколько иначе, чем используются в повседневной русской речи. Больше ляпов видно на экране с матрёшкой. Более того, что имена Йосеф и Алик, указанные в тексте, никогда не были русскими.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.18
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.tiwaq
ESET-NOD32 -> A Variant Of MSIL/Filecoder.IX
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> MachineLearning/Anomalous.96%
Microsoft -> Ransom:MacOS/Filecoder
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WEG21
---
© Генеалогия: ✂️ HiddenTear >> Matryoshka
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .matryoshka
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину мая 2021 г. Ориентирован на англоязычных и русскоязычных пользователей, может распространяться по всему миру.
Запиской с требованием выкупа выступает экран блокировки, в котором используются два языка, английский и русский:
Содержание записки о выкупе на английском языке:
Ooops!!!
You have been infected by Matryoshka Ransomware.
Read all instructions carefully to recover files.
What is Matryoshka Ransomware?
Ransomware is a computer program that encrypts files with military grade cryptography algorithms. This means you cannot decrypt it alone, you need creators of such virus to decrypt for you.
Matryoshka has infected you and your files are now encrypted. Good news! We can decrypt for you. That, however, comes with small price: $75 (seventy five US dollars). Very cheap, yes? Other ransomwares charge up to $1000, we are being generous!
You are advised to pay the fee within 20 days of infection (as seen on left of window). If demand is not met, all encrypted files are deleted FOREVER.
Things you must know
Only Matryoshka Team (Йосеф and Алик) can decrypt your files. Any attempt you do is futile. If you delete this program, you never recover files!!! Uninstall or stop your antivirus or it may remove Matryoshka and, by consequence, your files. Immediately.
How to pay
You pay the fee using cryptocurrency. No worries, it is easy! We only accept Monero for payment because is very private and your information is not leaked. You can buy Monero on sites online, like Binance.
To buy cryptocurrency Monero (XMR), you need wallet. When buying Monero from Binance for example it will create the wallet for you. The wallet is how we identify your computer and unlock your files.
Go on Google to learn more of how to buy XMR (Monero).
YOU MUST SEND PAYMENT TO THE WALLET BELOW:
47NVMZew49WYxzHGQUJZARRXu38ydxCyj4iXPn69jL 5xXvitL8wyq7yVpYcfNxs6M5ckDdpJdpMbP7buEqtNs1FE15wmby4
How are files unlocked
When you send payment, it takes a little time (around 30 minutes) to the Blockchain to register it. You will then need to insert your wallet (is 95 characters long) in this program on the payment field below, and press "CONFIRM". But be careful, if you specify wrong wallet, it will be bad and you will not be able to recover your files! We have program running to check payments, when you confirm that you have sent it our server receives information and will wait to see if payment is received.
Encryption keys are stored in our server, you do not have access. When payment is confirmed, the program gets the key and performs decryption unlocking your precious files.
This program asks the server if payment is received every 10 minutes. If yes, then files are recovered, decrypted, everything is fixed and this program is gone. If you have any problem, email us at matryoshka.iosef@airmail.cc and we provide support. Only email if problem is with payment confirmation delay!
Содержание записки о выкупе на русском языке:
Ой!!!
Вы были заражены программой Матрёшка Рансомваре.
Внимательно прочитайте все инструкции, чтобы восстановить файлы.
Что такое Матрёшка Рансомваре?
Рансомваре - это компьютерная программа, которая шифрует файлы с помощью криптографических алгоритмов военного класса. Это означает, что мы должны расшифровать их для вас.
Матрёшка заразила вас, и теперь ваши файлы зашифрованы. Хорошие новости! Мы можем расшифровать их для вас. Однако за это придется заплатить небольшую цену: $75 (семьдесят пять долларов США). Очень дешево, да? Другие выкупные программы берут до 1000 долларов, мы же проявляем щедрость!
Вам рекомендуется внести плату в течение 20 дней после заражения (как показано в левой части окна). Если требование не будет выполнено, все ваши зашифрованные файлы будут удалены НАВСЕГДА.
Вещи которые вы должны знать
Только команда Матрёшка Группа (Йосеф и Алик) может расшифровать ваши файлы. Если вы удалите эту программу, вы никогда не сможете восстановить свои файлы! Удалите или остановите работу вашего антивируса, иначе он может удалить Матрешку и, как следствие, ваши файлы.
Как оплатить
Вы оплачиваете услугу с помощью криптовалюты. Не беспокойтесь, это просто! Мы принимаем только Monero в качестве способа оплаты, потому что это безопасно и ваша информация не будет передана. Вы можете купить Monero на сайтах в Интернете, таких как Binance.
Чтобы купить криптовалюту Monero (XMR), вам нужен кошелек. При покупке Monero на Binance, например, он создаст для вас кошелек. Кошелек - это то, как мы идентифицируем ваш компьютер и разблокируем ваши файлы.
Поищите в Google, чтобы узнать больше о том, как купить XMR (Monero).
ВЫ ДОЛЖНЫ ОТПРАВИТЬ ОПЛАТУ НА УКАЗАННЫЙ НИЖЕ КОШЕЛЕК:
47NVMZew49WYxzHGQUJZARRXu38ydxCyj4iXPn69jL 5xXvitL8wyq7yVpYcfNxs6M5ckDdpJdpMbP7buEqtNs1FE15wmby4
Как разблокируются файлы
Когда вы отправите платеж, блокчейну потребуется около 30 минут, чтобы зарегистрировать его. Затем вам нужно будет вставить свой кошелек (он состоит из 95 символов) в этой программе в поле платежа внизу и нажать кнопку подтверждения. Но будьте осторожны, если вы укажете неправильный кошелек, вы не сможете восстановить свои файлы! На нашем сервере запущена программа для проверки платежей, когда вы подтверждаете отправку, наш сервер получает информацию и будет ждать поступления платежа.
Ключи шифрования хранятся на нашем сервере, у вас нет к ним доступа. Когда платеж подтвержден, программа получает ключ с сервера и выполняет дешифровку, разблокируя ваши драгоценные файлы.
Программа запрашивает сервер, получен ли платеж, каждые 10 минут. Если да, то ваши файлы восстановлены, расшифрованы, все исправлено и эта программа исчезла. Если у вас возникли проблемы, напишите нам по адресу matryoshka.iosef@airmail.cc, и мы окажем поддержку. Пишите нам только в том случае, если проблема связана с задержкой подтверждения платежа!
Видимо те, кто писал текст на английском языке не являются его носителями, т.к. пропускают английские артикли. Они более старательно хотят показать, что являются носителями русского языка: в русском тексте почти нет ошибок, но часть слов и словосочетаний написаны несколько иначе, чем используются в повседневной русской речи. Больше ляпов видно на экране с матрёшкой. Более того, что имена Йосеф и Алик, указанные в тексте, никогда не были русскими.
---
Полноэкранные скриншоты, на которых виден значок программы. Он один и тот же в обоих случая: сначала у Nitro Snypa v5.32 beta, потом у Matryoshka.
Как можно увидеть, экрану программы-вымогателя предшествует диалоговое окно с сообщением и названием Nitro Snypa v5.32 beta, в котором нужно нажать кнопку "OK". Только потом повляется окно программы вымогателя. Это напоминает ранее известную схему "матрёшка", где из одной программы выпрыгает другая.
Кроме того программа Nitro Snypa отслеживает коды Discord Nitro, отсюда названия: Discord Nitro Sniper и Nitro Snypa.
Текст, который не отражен в основном окне:
Welcome to Nitro Snypa.
The application has been attached to Discord and is now running in the background looking for Nitro codes.
You will be informed if any valid code is found as it is instantly claimed.
Nitro Snypa v5.32 beta
Перевод на русский язык:
Добро пожаловать в Nitro Snypa.
Приложение привязано к Discord и в фоновом режиме ищет коды Nitro.
Вы узнаете, если будет найден и сразу востребован валидный код.
Nitro Snypa v5.32 бета
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bak, .bmp, .cfg, .cgi, .class, .conf, .config, .cpp, .csv, .cxx, .dat, .doc, .docx, .flv, .gif, .hpp, .htm, .html, .java, .jpeg, .jpg, .jsp, .log, .m4a, .mdb, .mid, .midi, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .ogg, .pdf, .php, .png, .pps, .ppt, .pptx, .psd, .rar, .rtf, .sav, .sql, .svg, .tif, .tiff, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (60 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
NitroSnypa.exe - название вредоносного файла;
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
NitroSnypa.exe - название вредоносного файла;
NitroSnypa.pdb - название файла проекта в комплекте;
MatryoshkaKillswitch.txt - специальный файл.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\MatryoshkaKillswitch.txt
C:\Users\lucas\Desktop\Matryoshka\MatryoshkaWorker\Matryoshka\obj\Release\net40\NitroSnypa.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: matryoshka.iosef@airmail.cc
XMR (Monero): 47NVMZew49WYxzHGQUJZARRXu38ydxCyj4iXPn69jL5xXvitL8wyq7yVpYcfNxs6M5ckDdpJdpMbP7buEqtNs1FE15wmby4
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: matryoshka.iosef@airmail.cc
XMR (Monero): 47NVMZew49WYxzHGQUJZARRXu38ydxCyj4iXPn69jL5xXvitL8wyq7yVpYcfNxs6M5ckDdpJdpMbP7buEqtNs1FE15wmby4
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 61fccc142e2bbf498885bb6e42bae62c
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: S!Ri, Tomas Meskauskas Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
