Slam Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email, указанный в тексте записки, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: Slam Ransomware. На файле написано: WindowsFormsApp1.exe. Позже разработчик програмы сообщил, что это всего лишь пробный проект и он не распространяется для того, чтобы причинить кому-то вред.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.23
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1139408
BitDefender -> Trojan.GenericKD.37077565
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.Crypt.MSIL.Generic
Microsoft -> Ransom:MSIL/Ryzerlo.A
Symantec -> Ransom.HiddenTear!g1
Tencent -> Win32.Trojan.Generic.Huzc
TrendMicro -> Ransom_CRYPTEAR.SM0
---
© Генеалогия: ✂ HiddenTear >> Slam
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Образец этого крипто-вымогателя был найден в первой половине июня 2021 г. Ориентирован на англоязычных, испаноязычных, русскоязычных и китайских пользователей, может распространяться по всему миру. На момент написания статьи не было известно о пострадавших от этой программы-вымогателя. Вероятно их и не было.
К зашифрованным файлам добавляется расширение: .SLAM
Записка с требованием выкупа написана на экране блокировки, который имеет интерфейс на испанском, английском китайском и русском языках.
Содержание текста о выкупе на испанском:
TUS ARCHIVOS HAN SIDO ENCRIPTADOS
si quieres recuperarlos debes contactar conmigo en uno de los correos
cuando hayas seguido las instrucciones que te daremos en el correo
debes verificar el pago pulsando el botón "revisar pago"
dispones de 12 horas para ello
correos:
slamhelp123@gmail.com
slamransomwareasistance@gmail.com
---
normas:
no apagues ni remides tu ordenador
no intentes matar ningún proceso o tu ordenador morirá automáticamente
no uses las aplicaciones prohibidas (regedit taskmgr cmd etc)
SI NO PAGAS EN 12 HORAS TU ORDENADOR NO VOLVERA A ENCENDERESE JAMAS
---
tu ID: KNU0JZ18CKRVV5j2FAt8RNVOdG1HXOld08Bxjayp
tiempo restante: ***
Содержание текста о выкупе на английском:YOUR FILES HAVE BEEN ENCRYPTED
if you want to recover them you must contact with me in one of the emails
when you have followed the instructions that we will give you in the mail
you must verify the payment by clicking on the "check payment" button
you have 12 hours to do it
email:
slamhelp123@gmail.com
slamransomwareasistance@gmail.com
---
rules:
do not shut down or restart your computer
don't try to kill any process or your computer will die automatically
don't use the forbidden applications (regedit taskmgr cmd etc)
IF YOU DON'T PAY IN 12 HOURS YOUR COMPUTER WILL NOT TURN ON AGAIN.
---
your ID: KNUOJZ18CKRW5j2FAt8RNVOdG1HXOld08Bxjayp
remaining time:
Содержание текста о выкупе на русском:ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
если вы хотите восстановить их вы должны связаться со мной по одному из электронных писем.
после того, как вы выполнили инструкции, которые мы дадим вам по почте
вы должны проверить платеж, нажав на кнопку "проверить платеж".
У вас есть 12 часов, чтобы сделать это
электронная почта:
slamhelp123@gmail.com
siamransomwareasistance@gmal.com
---
правила:
не выключайте и не перезагружайте компьютер
не пытайтесь убить какой-либо процесс, иначе ваш компьютер умрет автоматически
не используйте запрещенные приложения (regedit taskmgr cmd и т.д.)
ЕСЛИ ВЫ НЕ ЗАПЛАТИТЕ В ТЕЧЕНИЕ 12 ЧАСОВ. ВАШ КОМПЬЮТЕР БОЛЬШЕ НИКОГДА НЕ ВКЛЮЧИТСЯ.
---
ваш ID: mhG0Ybr9hLrcCTtCN6RIPNj9j0qowDlDVghXmtmR
оставшееся время:
Сравнительный тест и анализ текста показывают, что главным языком этой программы является испанский, т.к. некоторые элементы интерфейса не переведны на другие языки.
Более того в экране на русском языке есть неправильные фразы, например в нижней правой кнопке написано "Обзорные платежи", хотя должно быть "Проверить оплату", при этом правая нижняя кнопка вместо слова "язык" отображает "language" на английском.
При нажании на кнопку "OK" в русскоязычном разделе SLAM DECRYPTOR, появляется фраза на испанском языке.
Если внимательно присмотреться, что ID кажется фиктивным, потому что в одном и том же варианте программы на русском языке отображается другой ID. Это кажется странным, потому что у каждой жертвы должен быть один и тот же ID, независимо от выбранного языка. На наш взгляд это говорит в пользу того, что эта прогармма-вымоагтель активно не распространяется или вообще является тестовой версией.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
WindowsFormsApp1.exe - название вредоносного файла; WindowsFormsApp1.pdb - название файла проекта;
SLAM DECRYPTOR - в составе основной программы-вымогателя.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\temp\1.bat
C:\temp\backtrack.jpg
C:\temp\boot.bin
C:\temp\boot.exe
C:\temp\mbr.exe
C:\temp\data\LogonUI.exe
C:\temp\LogonUI.exe
C:\Users\amdga\Desktop\carpetas\WindowsFormsApp1\WindowsFormsApp1\obj\Debug\WindowsFormsApp1.pdb
%USERPROFILE%\source\repos\eternalblue\Debug\eternalblue.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Сайт с бесплатными дешифраторами: anmodi.000webhostapp.com
Сайт кажется легитимным, сообщает о бесплатных дешифровщиках с возможностью загрузки.
В отношении Slam Ransomware там выложен ключ, который может быть ключом деширования файлов. Email: slamhelp123@gmail.com, slamransomwareasistance@@gmail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
IOC:
VT,
HA,
IA,
TG, AR, VMR, JSB
MD5: 9c543a3b162b8e9317c717892ba47691
SHA-1: 52980b81ca21b6c02793272dea788f18c03c66bf
SHA-256: d56cfe09f291b11e27b84ede219459ede65652a19596a0b33f8a3ef871236cf5
Vhash: 284036551511d08a1a2b5062
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Разработчик сообщил на сайте "anmodi.000webhostapp.com", что этот вариант Slam Ransomware был пробным и недоделанным. Он попал на сайт VirusTotal потому, что сам разработчик его туда загрузил. Сейчас у него есть лучший вариант программы, но он также не собирается его распространять, чтобы причинить вред. Он также предлагает бесплатную расшифровку пострадавшим от шифрования. Но предлагаемая ссылка не открывается.
Таким образом, эту статью закрываем.
Slam Ransomware Builder, Slam MBR Builder
Вариант от 15 сентября 2023:
Видимо, подражает Stop Ransomware.
Расширение: .nnll
Записка: _Readme.txt
Результаты анализа (шифровальщик): VT + TG + IA Результаты анализа (дешифровщик): VT + TG + IA ➤ Обнаружения:
DrWeb -> Trojan.Encoder.37980
BitDefender -> Generic.Malware.GSDB2.373B050A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SLAM.A
Kaspersky -> HEUR:Trojan.MSIL.Diztakun.gen
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_Ryzerlo.R002C0CIF23
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Message + Message + myMessage
Write-up, Topic of Support
*
Thanks:
dnwls0719
Andrew Ivanov (article author)
***
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
создатель вируса обновил веб-сайт и установил способ расшифровки файлов.
ОтветитьУдалитьСпасибо за информацию. Добавил в статью.
УдалитьПредлагаемая пострадавшим ссылка в тексте не открывается.
Они снова обновили текст и уже решили ссылку, видимо нужно было сменить ссылку TU ID на id вымогателя.
ОтветитьУдалитьthe text of the web has been updated
ОтветитьУдалить