Если вы не видите здесь изображений, то используйте VPN.

пятница, 23 октября 2020 г.

Skynet

Skynet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в $30 на рублевый кошелек в Webmoney, чтобы вернуть файлы. Оригинальное название: Skynet system. На файле написано: SKYNET.exe.
---
Обнаружения:
DrWeb -> Trojan.Winlock.14436
Avira (no cloud) -> Trojan.GenericKD.44166766
BitDefender -> Trojan.GenericKD.44166766
ESET-NOD32 -> ***
Kaspersky -> Backdoor:Win32/Bladabindi!ml
Microsoft -> Backdoor:Win32/Bladabindi!ml
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Diztakun.Woyy
TrendMicro -> TROJ_GEN.R002C0WGB21
---

© Генеалогия: ✂ HiddenTear + 
✂ Stupid >> Sapphire (LAG) > Skynet 

Изображение — логотип статьи

К зашифрованным (заблокированным) файлам добавляется расширение: .aes


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была во второй половине октября 2020 и в начале июля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
 
Записка с требованием выкупа написана на экране блокировки: 


Скриншоты Рабочего стола с экраном блокировки для Windows 7 и Windows 10. Казалось бы совсем несложная программа, а тоже легко блокирует хвалёную "лучше защищенную" 10-ку и шифрует файлы. 




Содержание записки о выкупе:
Congratulations on joining the Skynet system!
Some files in YOUR PC has been ENCRYPTED, but don't worry, we can still FIX IT...
If you want RETURN your FILES , you must PAY for it.
Pay 30$ to the account R124623291982 in Webmoney system and specify
in the message translation address to contact you, where you will receive a PASSWORD.
Enter the password here: ***
Attention, you have only 3 attempts!  [ACCEPT]

Перевод записки на русский язык:
Поздравляем с присоединением к системе Скайнет!
Некоторые файлы на ВАШЕМ ПК были ЗАШИФРОВАНЫ, но не волнуйтесь, мы еще можем ИСПРАВИТЬ ЭТО...
Если вы хотите ВЕРНУТЬ ваши ФАЙЛЫ, вы должны ЗАПЛАТИТЬ за это.
Внесите 30$ на счет R124623291982 в Webmoney и укажите 
в сообщении перевода адрес для связи с вами, куда вы получите ПАРОЛЬ.
Введите пароль здесь: ***
Внимание, у вас всего 3 попытки! [ПРИНИМАТЬ]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию (блокировке):
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
SKYNET.exe - название вредоносного файла. 



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
Ⓗ Hybrid analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >> 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 1 марта 2024: 
Доп. название: Payuranson Ransomware
Расширение: .payuranson
Записка: SkynetData.txt
Email: imhere.ru@protonmail.com
Telegram: @payurransom
IOC: VT, TG 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
Внимание!  
Файлы можно расшифровать / разблокировать.
Код разблокировки: GENYSIS
Если код не подходит, пишите в Тему поддержки >>
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *