Saved, SecurityAgent

Saved Ransomware

SecurityAgent Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель использует для шифрования данных на удаленных компьютерах свободную программу для шифрования GnuPG, а затем предлагает платную помощь, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Шифрует всего 5% в начале файла. Если пострадали архивы, то некоторые файлы можно извлечь. 


© Генеалогия: предыдущие варианты >> SecurityAgent

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце июня - начале июля 2021 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .saved

Вымогатели даже не оставили традиционную записку с требованием выкупа. Они используют окно программы удаленной помощи. Отследить куда оно ведёт можно, но только при официальном расследовании инцидента. 

Текст с навязыванием платных услуг написан на открытом экране: 

Содержание текста на экране:

Внимание Внимание Внимание!

Внимание Внимание Внимание!

Добрый день. У Вас возникли сложности на работе?

Не стоит переживать, наши IT-специалисты помогут Вам.

Для этого напишите пожалуйста нам на почту.

Наш email - securityagent@techmail.info

Хорошего и продуктивного дня!

Перевод записки на русский язык:
уже сделан

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это наверняка будут самые важные файлы, в их числе документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
файлы в папке gnupg; 

<random> - случайное название файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.