Если вы не видите здесь изображений, то используйте VPN.

понедельник, 21 июня 2021 г.

Spyro

Spyro Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Spyro Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На одном файле написано: Windows Session Manager.exe, а на другом - SvHost-3.exe. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34086 / Trojan.DownLoader39.50328
ALYac -> Trojan.Ransom.Ouroboros
Avira (no cloud) -> HEUR/AGEN.1139736
BitDefender -> DeepScan:Generic.Ransom.AmnesiaE.100233CC / Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.G
Kaspersky -> HEUR:Trojan.Win32.Stosek.gen
Malwarebytes -> Ransom.VoidCrypt / Ransom.Ouroboros
Microsoft -> Trojan:Win32/Ymacco.AA12 / Program:Win32/Ymacco.AAC6
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11c2ae93
TrendMicro -> Ransom.Win32.VOIDCRYPT.SM
---

© Генеалогия: Ouroboros
VoidCrypt >> Spyro


Сайт "ID Ransomware" это отдельно не идентифицирует. Но возможна  идентификация по родству, т.е. как VoidCrypt. 


Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2021 г., точнее 21 июня. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .Spyro

Фактически используется составное расширение по шаблону: .[<email>][XXXXXXXX].Spyro

Пример такого расширения: .[BlackSpyro@tutanota.com][34D4567F].Spyro

Записка с требованием выкупа называется: Decrypt-info.txt

Spyro Ransomware note, записка о выкупе

Содержание записки о выкупе:
All your files are encrypted due to security problem with your computer.
You should pay money to recover your files.
The price depends on how fast do you message us.
You should contact us via this email address: BlackSpyro@tutanota.com
if you didn't receive any reply, message our second email address: BlackSpyro@mailfence.com
We guarantee that if you make payment, all your files will be recovered.
You can send few example files. We recover them for you to prove that we can recover your files.
Attention:
Do not rename encrypted files.
Do not try to decrypt your data using third-party software, it may cause permanent data loss.
The decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Перевод записки на русский язык:
Все ваши файлы зашифрованы из-за проблем безопасности вашего компьютера.
Вы должны заплатить деньги, чтобы восстановить свои файлы.
Цена зависит от того, как быстро вы нам напишите.
Вы должны написать нам по этому email-адресу: BlackSpyro@tutanota.com
если вы не получили ответа, напишите на наш второй email-адрес: BlackSpyro@mailfence.com
Мы гарантируем, что в случае оплаты все ваши файлы будут восстановлены.
Вы можете прислать несколько файлов с примерами. Мы восстановим их для вас, чтобы доказать, что мы можем восстановить ваши файлы.
Внимание:
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к удорожанию (они добавят свою цену к нашей) или вы можете стать жертвой мошенничества.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt-info.txt - название файла с требованием выкупа;
Windows Session Manager.exe - название вредоносного файла; 
SvHost-3.exe - название другого вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: BlackSpyro@tutanota.com, BlackSpyro@mailfence.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IATG + TG, AR, VMR, JSB
MD5: 000e2743bf3cb96cefc4be357765cec3
SHA-1: 62b9b6afc91e349c56ce967985eec229f7db82aa
SHA-256: 126f06426beeaaeea65331c5896590eb558405e5b924254e1aa17c3adc5c2fb3
Vhash: 016056655d555560c2z13z9euz1e7z
Imphash: 1679a5c6f05d9b5195b66ccfe1b877de
---
IOC: VT, HA, IA, TG + TG, AR, VMR, JSB
MD5: 6d0cefa5b7f1744aa5dbc041c50b1709
SHA-1: 023fe5cafe7f0b32bfaf1b3549785e4d36a13b63
SHA-256: c6da46d2abe90035674272a826d1203dde07338e27e3ebefc6335cbedb389019
Vhash: 01603e0f7d1013z13z4hz13z11z11z17z
Imphash: 24ed90eebd28321b68c87b9384928072


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение от 16 марта 2022:
Исследователи из BlackBerry связывают Spyro Ransomware с LokiLocker, но тот появился на 2 месяца позже. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author) 
 Michael Gillespie, 
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *