TaRRaK

TaRRaK Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: TaRRaK. На файле написано: TaRRaK.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33988

ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.vwiqt
BitDefender -> Trojan.GenericKD.37017710
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AIY
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.StartPage
Microsoft -> Trojan:Win32/Wacatac.B!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dbj
TrendMicro -> Ransom_TarkCrypt.R011C0DF321
---

© Генеалогия: ??? >> TaRRaK

Сайт "ID Ransomware" это идентифицирует как TaRRaK.

Информация для идентификации

Активность этого крипто-вымогателя была в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .TaRRaK

Зашифрованные файлы ассоциируются со значком. 

Также используется маркер файлов TaRRaK, которые добавляется в начало  зашифрованного файла. 

Записка от вымогателей называется: Note_fom_TaRRaK.txt

Содержание записки о выкупе:

You've been hacked!

Your #FILECOUNT# file(s) was encrypted by TaRRaK Rasomware

Your System ID is #SYSTEMID#

Перевод записки на русский язык:

Вы взломаны!

Ваши *** файлы зашифрованы TaRRaK Rasomware

Ваш системный ID ***

Сообщение от вымогателей также есть на изображении, заменяющем обои Рабочего стола: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.3ds, .7z, .7zip, .acc, .accdb, .ai, .aif, .apk, .asc, .asm, .asf, .asp, .aspx, .avi, .backup, .bak, .bat, .bin, .bmp, .c, .cdr, .cer, .cfg, .cmd, .cpp, .crt, .crw, .cs, .csproj, .css, .csv, .cue, .db, .db3, .dbf, .dcr, .dds, .der, .dmg, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .epub, .erf, .flac, .flv, .gif, .gpg, .h, .html, .ico, .img, .iso, .java, .jpe, .jpeg, .jpg, .js, .json, .kdc, .key, .kml, .kmz, .litesql, .log, .lua, .m3u, .m4a, .m4u, .m4v, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .part, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .ptx, .pub, .pri, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rm, .rtf, .rwl, .sav, .sh, .sln, .suo, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .thm, .tif, .tiff, .tmp, .torrent, .txt, .vbs, .vcf, .vlf, .vmx, .vmdk, .vdi, .vob, .wav, .wma, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (175 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, бэкапы, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых папок с файлами в них:

$Recycle.BinAll Users\Microsoft

Windows

Program Files

ProgramData

Temporary Internet Files

Local\Microsoft

Файлы, связанные с этим Ransomware:
Note_fom_TaRRaK.txt - название файла с требованием выкупа;
TaRRaK.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"TaRRaK"="\"<PATH-TO-SAMPLE>\""

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, MS

MD5: 080faae20204b657a4fe38ea6cb54160

SHA-1: c1709bd4571ceafebcc20ee80dd7aa5715e9c5af

SHA-256: af760d272c64a9258fab7f0f80aa2bba2a685772c79b1dec2ebf6f3b6738c823

Vhash: 215036551511f07b1110012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myMessage + Message + Message
 Write-up, Topic of Support
 *** 

Внимание! 
Файлы можно расшифровать. 
Скачайте дешифровщик от Avast по ссылке >> 
Подробная инструкция прилагается. 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (article author)
 Avast
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.