WannaDie.NET

WannaDie.NET Ransomware

WannaDie-2021 Ransomware

(фейк-шифровальщик, вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель сообщает пострадавшему, что файлы зашифрованы с AES-256, а затем требует выкуп в 0.0090675 BTC, чтобы вернуть файлы. На самом деле файлы не шифруются. Оригинальное название: WannaDie Ransomware. На файле написано: Microsoft System.exe. Скомпилирован на платформе .NET. В коде есть текст на немецком языке. 
---
Обнаружения:
DrWeb -> Trojan.Winlock.14434, Trojan.Winlock.14435
ALYac -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.Ransom.Filecoder
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of MSIL/LockScreen.AMW
Kaspersky -> HEUR:Trojan.MSIL.Locker.gen, HEUR:Hoax.MSIL.FakeRansom.gen
Malwarebytes -> Malware.AI.4264087825, Trojan.MalPack.MSIL
Microsoft -> Trojan:Win32/AgentTesla!ml, Program:Win32/Wacapew.C!ml
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:go*, Trojan.Generic/MSIL@AI.92 (RDM.MS*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Locker.Phqi
TrendMicro -> TROJ_GEN.R002H09FP21
---

© Генеалогия: предыдущие на платформе .NET >> WannaDie.NET

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа написана на экране блокировки: 

Содержание записки о выкупе:

Your PC is now infected with WannaDie ransomware.

You ha 12:59 hours to send 0.0090675 Bitcoins to bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34

All files, documents, pictures and other important data is now encrypted with AES-256

1. Take your phone and open the website paxful.com or download the Paxful app in your App Store!

2. Register on the site or app and buy bitcoins with PayPal or Credit Card until you have 0.0090675 BTC

3. Now send these Bitcoins to the wallet!

4. After you done this 3 Steps send us a mail with the Transaction ID and your WannaDie-ID and then our service team will send you in 30-60min the code to unlock your PC!

5. Place the code in the field above then click enter! I app in your App Store!

---

Thank for the purchase :) Your PC is now encrypted!

Перевод записки на русский язык:

Ваш компьютер заражен WannaDie ransomware.

У вас 12:59 часов для отправки 0,0090675 биткойна на bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34*

Все файлы, документы, изображения и другие важные данные зашифрованы с AES-256.

1. Возьмите ваш телефон и откройте сайт paxful.com или загрузите приложение Paxful в свой App Store!

2. Регистрируйтесь на сайте или в приложении и купите биткойны с PayPal или кредитной карты, на сумму 0,0090675 BTC.

3. Теперь отправьте эти биткойны в кошелек!

4. После этих 3 шагов отправьте нам письмо с ID транзакции и вашим WannaDie-ID, а затем наша сервис-команда отправит вам за 30-60 минут код разблокировки вашего ПК!

5. Поместите код в поле выше и нажмите Enter! I в вашем App Store!

---

Благодарим за покупку :) Ваш компьютер теперь зашифрован!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
В данной версии файлы не шифруются, но после доработки и реализации шифрования, по прицелом вполне могу оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Microsoft System.exe - название вредоносного файла;

Microsoft System.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\admin\AppData\Local\Temp\Microsoft System.exe

C:\Users\kashe\source\repos\Microsoft System\Microsoft System\obj\Debug\Microsoft System.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qzcml9q2f80q5kpjdh9rg0cusaca3u6x2k34*

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC-1: VT, HA, IA, TG, AR, VMR, JSB

MD5: b4fcb57eec7811bf3be0452ece7ac93e

SHA-1: d219e66858a1fc99820ce7004a774cdc0cee81af

SHA-256: 4b2f7d5143ee5a64437b9f428d7b3a88d823f7af1d1dd9ae0a4504621e6a450e

Vhash: 23503675151181z9183012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC-2: VT, HA, IA, TG, AR, VMR, JSB

MD5: bd60871047c02c34de4e76aaabf397c9

SHA-1: 11edf1bec6fa977e748eb975b3459f127cbdfb0d

SHA-256: 295f01c0f93400b0bea4823457a1ca09329770c6e2fa2de44972940aba16f0b2

Vhash: 235036755511800111214012

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.