VietnamPav Ransomware
Zitenmax Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.6182
ALYac -> Generic.Ransom.Purge.CA3CF2EC
Avira (no cloud) -> TR/ATRAPS.Gen
BitDefender -> Generic.Ransom.Purge.CA3CF2EC
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS
Kaspersky -> Trojan-Ransom.Win32.Purga.m
Malwarebytes -> Malware.AI.4218506913
Microsoft -> Ransom:Win32/Contentocrypt.A
Rising -> Ransom.Contentocrypt!1.B20B (CLASSIC)
Symantec -> Ransom.Purge
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_PURGE.SM2
---
© Генеалогия: ✂ Globe-2 >> VietnamPav (Zitenmax)
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Несколько пострадаших есть на русскоязычных форумах.
К зашифрованным файлам добавляется расширение: .encrypted
Записка с требованием выкупа называется: How to restore files.hta
Содержание записки о выкупе:
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Удаляет теневые копии файлов.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How to restore files.hta - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: zitenmax@rambler.ru
BTC: -
Записка с требованием выкупа называется: How to restore files.hta
All Files Encrypted !!!! - VietnamPav
You ID:
<pre>17780054208290***8600159</pre>
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.If you want to restore them, write us to the
Mail: zitenmax@rambler.ru
Все файлы зашифрованы !!!! - VietnamPav
Ваш ID:
<pre> 17780054208290 *** 8600159 </pre>
Вы должны платить за расшифровку в биткойнах. Цена зависит от быстроты вашего ответа нам. После оплаты мы отправим вам дешифратор, который расшифрует все ваши файлы. Если вы хотите их вернуть, пишите нам на Почту: zitenmax@rambler.ru
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Удаляет теневые копии файлов.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
How to restore files.hta - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: zitenmax@rambler.ru
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 156ed66fb7257ef1bdd6385c71e5aa83
SHA-1: 2d302323eab61e5791ab5ce2c6728e6708743bed
SHA-256: 028f0b1092caf4711857d0958bc798882c4ac9285895c3628f5be0c988f1d560
Vhash: 0250861d1c0d1c0515051069z19z25z23z3fz
Imphash: c9e5491d4e0eaeb36f6523d5af04912f
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Внимание! Для зашифрованных файлов есть дешифровщик. Скачать и использовать Globe-2 Decrypter по инструкции >>
Thanks: thyrex, dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
