EncodeBat Ransomware
Encode.bat Ransomware
(шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34055
ALYac -> Heur.BZC.ONG.Cross.7.59378A37
BitDefender -> Trojan.GenericKD.46537758
ESET-NOD32 -> BAT/Filecoder.EA
Kaspersky -> Trojan-Ransom.Win32.Encoder.mya
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Woreflint.A!cl
Symantec -> ML.Attribute.HighConfidence
---
© Генеалогия: CruelCrypt и подобные >> EncodeBat
Сайт "ID Ransomware" это пока не идентифицирует. ~VoidCrypt.
Информация для идентификации
Образец этого крипто-вымогателя был найден в середине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .encrypted
Содержимое зашифрованного файла заменяется каким-то сертификатом.
Содержимое зашифрованного файла заменяется каким-то сертификатом.
Скриншоты процесса шифрования. В первом окне видно, что он сначала ждёт нажания любой клавиши, только потом выполняет шифрование.
Содержание записки о выкупе:
all your files have been encrypted
Перевод записки на русский язык:
все твои файлы зашифрованы
all your files have been encrypted
Перевод записки на русский язык:
все твои файлы зашифрованы
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. Технические детали + IOC
Вероятно распространяется среди фанатов какой-то игры, чтобы напугать или нейтрализовать противников. Это только предположение.
После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов.
➤ Используется утилита CertUtil, в которой есть команда для шифрования файлов. Ключ не требуется, вероятно файлы можно будет расшифровать обратной командой.
Список типов файлов, подвергающихся шифрованию:
Пока шифруются только файлы тектовых форматов: .docx, .rtf, .txt
После доработки список может быть шире: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Файлы, связанные с этим Ransomware:
ALL-YOUR-FILES-ARE-ENCRYPTED.txt - название файла с требованием выкупа;
ALL-YOUR-FILES-ARE-ENCRYPTED.txt.encrypted - зашифрованный файл собственной записки; WEXTRACT.EXE.MUI - оригинальное название вредоносного файла;
Encode.bat (Encode.exe) - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
Key created \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce Encode.exe
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0 = "rundll32.exe C:\\Windows\\system32\\advpack.dll,DelNodeRunDLL32 \"C:\\Users\\Admin\\AppData\\Local\\Temp\\IXP000.TMP\\\"" Encode.exe
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
MD5: 5163f03f6789656605108bec4650b66f
SHA-1: c32e012da9257780d2031f683457da1840615c9c
SHA-256: fb3b67d7f94630f41e722de49c211d8f5c69cdec8fc9ba25996717a77f67b89b
Vhash: 0150566d55556560e013z1005114kz1e03dz
Imphash: 646167cce332c1c252cdcb1839e0cf48
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Внимание! Если для шифрования используется утилита CertUtil, то файлы можно расшифровать обратной командой.
Thanks: Petrovic Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Расшифровка возможна. Как модуль шифровки используется утилита CertUtil, и там есть команда для шифрования файлов. Ключа она не требует, так что с лёгкостью можно будет их восстановить.
ОтветитьУдалитьСпасибо, добавили информацию.
Удалить