Venus Ransomware
Aliases: Gooodgamer, Goodgame
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Venus (в записке не указано). На файле написано: venus.exe или program.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33303
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Crypt.XPACK.Gen
BitDefender -> Trojan.GenericKD.46295423
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBQ
Kaspersky -> Trojan-Dropper.Win32.Daws.ezod
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/FileCoder.MAK!MTB
Rising -> Ransom.FileCoder!8.55A8 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.VENUS.A
---
© Генеалогия: ✂️ Zeoticus + другой код >> Venus
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .venus
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя была в середине мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: README.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
All your files has been encrypted
To take info, write ro email getdecrypt@disroot.org or and put this key:
X1mZl/8lMVDkCeiAgg7tL4PE+42P/ayHxDMT+kW96XZEI33lb+0/xYUdSYaFyHrA***
[totally 740 characters]
Перевод записки на русский язык:
Все ваши файлы зашифрованы
для информации напишите на email getdecrypt@disroot.org или положите этот ключ:
X1mZl/8lMVDkCeiAgg7tL4PE+42P/ayHxDMT+kW96XZEI33lb+0/xYUdSYaFyHrA***
[всего 740 знаков]
Дополнительным информатором жертвы является изображение, заменяющее обои Рабочего стола.
All your files has been encrypted
write ro email getdecrypt@disroot.org or
README file
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командой:
wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
➤ Звершает работу процессов, мешающих шифрованию файлов, командой:
taskkill /F /IM msftesql.exe /IM sqlagent.exe /IM sqlbrowser.exe /IM sqlservr.exe /IM sqlwriter.exe /IM oracle.exe /IM ocssd.exe /IM dbsnmp.exe /IM synctime.exe /IM mydesktopqos.exe /IM agntsvc.exe /IM isqlplussvc.exe /IM xfssvccon.exe /IM mydesktopservice.exe /IM ocautoupds.exe /IM agntsvc.exe /IM agntsvc.exe /IM agntsvc.exe /IM encsvc.exe /IM firefoxconfig.exe /IM tbirdconfig.exe /IM ocomm.exe /IM mysqld.exe /IM mysqld-nt.exe /IM mysqld-opt.exe /IM dbeng50.exe /IM sqbcoreservice.exe /IM excel.exe /IM infopath.exe /IM msaccess.exe /IM mspub.exe /IM onenote.exe /IM outlook.exe /IM powerpnt.exe /IM sqlservr.exe /IM thebat64.exe /IM thunderbird.exe /IM winword.exe /IM wordpad.exe
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
venus.exe или program.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: getdecrypt@disroot.org
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
MD5: 9aa3cc9d7c641ea22cfa3e5233e13c94
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 19 февраля - 9 марта 2022:
Самоназвание: gooodgamer
Расширение на зашифрованных файлах: .Ywkfistef
Расширение на обнулённых файлах: .goodgame
Записка: README.txt
Файл: bild.exe
Вариант от 12 июня 2022 или раньше:
Расширение: .anigma
Записка: README.txt
Email: anigma@tutanota.de, anigma@cock.li
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as Venus) Write-up, Topic of Support *
Thanks: S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
New version of Venus Ransomware
ОтветитьУдалитьEncryption AES + RSA
They are characterized by cheating the victims. They steal the data, they receive extortion, ask for more money and do not decrypt the data.
In some cases there is extension "Goodgamer"
Be careful with them