WowSmithAgain Ransomware
Petna Nextgen Ransomware
NotPetya Nextgen Ransomware
(шифровальщик-вымогатель, rar-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: NotPetya (Petna) >> WowSmithAgain
Информация для идентификации
Активность этого варианта крипто-вымогателя была замечена в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К помещенным в архив файлам добавляется расширение: .ramsome.encrypt(rsw).nat
Записка с требованием выкупа называется: readme-instructions.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme-instructions.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: WOWSMith123456@encripted.net
Email-2: wowsmith123456@posteo.net
Записка с требованием выкупа называется: readme-instructions.txt
Ooops, your important files are encrypted. If you see this text,
then your files are no longer accessible, because they have been encrypted.
files, but don't waste your tiMe. decrypt ion service. Perhaps you are busy
looking for a way to recover your Nobody can recover your files without our
All you We guarantee that you can recover all your files safely and easily.
need to do is submit the payment and purchase the decrypt ion key. Please f
ollow the instructions: 1. Send 1 Bitcoin to following address:
1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX 2. Send your Bitcoin wallet ID and personal
installation key to e-mail WOWSMith123456@encripted.net. Your personal
installation key: [redacted 10 groups of 5 alphanum separated by dashes]
If you already purchased your key, please enter it below. Key: welivesecurity
Текст выглядит урезанным или умышленно искажённым.
Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы. Если вы видите этот текст,
то ваши файлы больше не доступны, потому что они зашифрованы, но не тратьте ваше время ***
службы расшифровки. Возможно, вы заняты поиском способа восстановить свои ***
Никто не сможет восстановить ваши файлы без нашего ***
Все вы ***
Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы.
*** необходимо сделать оплату и купить ключ дешифрования.
Пожалуйста, следуйте инструкциям:
1. Отправьте 1 биткойн на следующий адрес:
1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX
2. Отправьте ID своего биткойн-кошелька и персональный установочный ключ на email адрес WOWSMith123456@encripted.net. Ваш личный установочный ключ: ***
Если вы уже приобрели ключ, введите его ниже. Ключ: welivesecurity
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
readme-instructions.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email-1: WOWSMith123456@encripted.net
Email-2: wowsmith123456@posteo.net
BTC: 1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX
Аккаунт вымогателей в Твиттере: hxxps://twitter.com/wowsmith12345
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 31 января - 12 февраля 2022:
Аккаунт вымогателей в Твиттере: hxxps://twitter.com/wowsmith12345
Email (целиком как у NotPetya): wowsmith123456@posteo.net
Записка: README_5652206.txt
➤ Содержание записки:
Ooops, your important files are encrypted.
Your personal Id:
d1Z86IIka***
If you see this text, then your files are no longer accessible, because they have been encrypted.
Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service.
We guarantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
1. Send $300 worth of Bitcoin to following address: 33Ui4qyDn3UNJgjY8UJJLsC5xydbQTgQKP
2. Send your Bitcoin wallet ID and personal id to e-mail wowsmith123456@posteo.net.
---
Файл: xaqipaxowq.exe
MD5: 11fea5d1914bb2a69c21d33e4d57075e
SHA-1: 0805389d789d5d7cc1445c0b49563f8646975613
SHA-256: 9378b1a61cd599f6b2f21f7449d6cf35d260a7096aa1fdb9dfa2743457dfc9fc
Vhash: 254036651511e0ad2d253061
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
➤ Обнаружения:
DrWeb -> Trojan.Encoder.34915
BitDefender -> Generic.Ransom.Blackout.23D5CA96
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Fantom.R
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.2960142392
Microsoft -> Ransom:MSIL/Kelnoc.A
Symantec -> Ransom.HiddenTear!g1
Tencent -> Win32.Trojan.Generic.Dzas
TrendMicro -> TROJ_FRS.0NA103BC22, Ransom.MSIL.PETYA.THBADBB
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support *
Thanks: Michael Gillespie, Petrovic Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
