SplinterJoke

SplinterJoke Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SplinterJoke Ransomware. На файле написано: SplinterJoke.exe. 

Согласно тексту преподносит себя как POC от SentinelOne. Странно, что  антивирусный движок SentinelOne обнаруживает исполняемый файл как  вредоносный. К тому же в текстовой записке название компании написано с ошибкой — SetinelOne. Таким образом непонятно, кем это было сделано, реальные антивирусные обнаружения см. ниже. 

---
Обнаружения: 

DrWeb -> Trojan.EncoderNET.20
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Dropper.Gen
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIV
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Malware.AI.4175874279
Microsoft -> Trojan:Win32/Tiggre!rfn

SentinelOne (Static ML) -> Static AI - Malicious PE
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Dropper.Wmsw
TrendMicro -> TROJ_GEN.R049C0WEU21
---

© Генеалогия: ??? >> SplinterJoke

Сайт "ID Ransomware" это идентифицирует как SplinterJoke.

Информация для идентификации

Образец этого крипто-вымогателя был найден в конце мая - начале июня 2021 г., но был сделан ранее, 22 октября 2020. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Предоставлен исследователем из Китая. 

К зашифрованным файлам добавляется расширение: .SplinterJoke

Записка с требованием выкупа называется: ransom_note.txt

Содержание записки о выкупе:

This is just a SetinelOne PoC Demo

!!! YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.

Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email SplinterJoke and decrypt one file for free. But this file should be of not valuable!

Do you really want to restore your files?

---

✋ Ошибки в тексте указаны красным цветом. 

При внимательном прочтении можно заметить, что в тексте нет никаких адресов для уплаты выкупа, кроме названия компании SentinelOne с предложением отправить им email, а это уже можно считать контактом. 

Трудно представить, что программист американской компании мог сделать две ошибки в тексте так, как это обычно делают вымогатели, для которых  английский язык неродной. 

Перевод записки на русский язык:

Это лишь демонстрация PoC SetinelOne

!!! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!

Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы.

Вы не сможете расшифровать их сами! Единственный способ восстановления файлов - это покупка уникального закрытого ключа.

Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.

Чтобы убедиться, что у нас есть дешифратор и он работает, вы можете отправить email в SplinterJoke и бесплатно расшифровать один файл. Но этот файл не должен быть ценным!

Вы действительно хотите восстановить свои файлы?

---

Кроме того есть ещё одно сообщение, которое может быть изображением, заменяющим обои Рабочего остола. 

Содержание текста:

Pc infected by

SplinterJoke Ransomware

This is just a POC for

SentinelOne Demo

Перевод на русский язык:

Пк заражен

SplinterJoke Ransomware 

Это лишь POC для

SentinelOne Demo

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию: 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware: 
ransom_note.txt - название файла с требованием выкупа; 
SplinterJoke.exe - название вредоносного файла. 

Расположения: 
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware: 
См. ниже результаты анализов.

Мьютексы: 
См. ниже результаты анализов.

Сетевые подключения и связи: 
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, MS

MD5: 671ad98a0e0c83defa386673bed208c4

SHA-1: f90e106afe7a980137313a758cf90ab343a73e6c

SHA-256: 67628a5f04c7099346dd18957a4bc5179f5c3a07b41ca0d2a9e708dcab54d16d

Vhash: 225036151515001240020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.