Если вы не видите здесь изображений, то используйте VPN.

среда, 2 июня 2021 г.

TaRRaK

TaRRaK Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: TaRRaK. На файле написано: TaRRaK.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33988
ALYac
-> Trojan.Ransom.Filecoder

Avira (no cloud) -> TR/Ransom.vwiqt
BitDefender -> Trojan.GenericKD.37017710
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIY
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.StartPage
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dbj
TrendMicro -> Ransom_TarkCrypt.R011C0DF321
---

© Генеалогия: ??? >> TaRRaK


Сайт "ID Ransomware" это идентифицирует как TaRRaK.


Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .TaRRaK

Зашифрованные файлы ассоциируются со значком. 


Также используется маркер файлов TaRRaK, которые добавляется в начало  зашифрованного файла. 


Записка от вымогателей называется: Note_fom_TaRRaK.txt


Содержание записки о выкупе:
You've been hacked!
Your #FILECOUNT# file(s) was encrypted by TaRRaK Rasomware
Your System ID is #SYSTEMID#

Перевод записки на русский язык:
Вы взломаны!
Ваши *** файлы зашифрованы TaRRaK Rasomware
Ваш системный ID ***

Сообщение от вымогателей также есть на изображении, заменяющем обои Рабочего стола: 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
.3ds, .7z, .7zip, .acc, .accdb, .ai, .aif, .apk, .asc, .asm, .asf, .asp, .aspx, .avi, .backup, .bak, .bat, .bin, .bmp, .c, .cdr, .cer, .cfg, .cmd, .cpp, .crt, .crw, .cs, .csproj, .css, .csv, .cue, .db, .db3, .dbf, .dcr, .dds, .der, .dmg, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .epub, .erf, .flac, .flv, .gif, .gpg, .h, .html, .ico, .img, .iso, .java, .jpe, .jpeg, .jpg, .js, .json, .kdc, .key, .kml, .kmz, .litesql, .log, .lua, .m3u, .m4a, .m4u, .m4v, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .part, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .ptx, .pub, .pri, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rm, .rtf, .rwl, .sav, .sh, .sln, .suo, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .thm, .tif, .tiff, .tmp, .torrent, .txt, .vbs, .vcf, .vlf, .vmx, .vmdk, .vdi, .vob, .wav, .wma, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (175 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых папок с файлами в них:
$Recycle.BinAll Users\Microsoft
Windows
Program Files
ProgramData
Temporary Internet Files
Local\Microsoft


Файлы, связанные с этим Ransomware:
Note_fom_TaRRaK.txt - название файла с требованием выкупа;
TaRRaK.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"TaRRaK"="\"<PATH-TO-SAMPLE>\""
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
IOC: VT, HA, IA, TG, AR, MS
MD5: 080faae20204b657a4fe38ea6cb54160
SHA-1: c1709bd4571ceafebcc20ee80dd7aa5715e9c5af
SHA-256: af760d272c64a9258fab7f0f80aa2bba2a685772c79b1dec2ebf6f3b6738c823
Vhash: 215036551511f07b1110012
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage + Message + Message
 Write-up, Topic of Support
 *** 
Внимание! 
Файлы можно расшифровать. 
Скачайте дешифровщик от Avast по ссылке >> 
Подробная инструкция прилагается. 
 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *