Если вы не видите здесь изображений, то используйте VPN.

вторник, 29 июня 2021 г.

VietnamPav, Zitenmax

VietnamPav Ransomware 

Zitenmax Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English



 Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: dttcodexgigas.2d302323eab61e5791ab5ce2c6728e6708743bed.
---
 Обнаружения:
DrWeb -> Trojan.Encoder.6182
ALYac -> Generic.Ransom.Purge.CA3CF2EC
Avira (no cloud) -> TR/ATRAPS.Gen
BitDefender -> Generic.Ransom.Purge.CA3CF2EC
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS
Kaspersky -> Trojan-Ransom.Win32.Purga.m
Malwarebytes -> Malware.AI.4218506913
Microsoft -> Ransom:Win32/Contentocrypt.A
 Rising -> Ransom.Contentocrypt!1.B20B (CLASSIC)
Symantec -> Ransom.Purge
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_PURGE.SM2
---
© Генеалогия: ✂ Globe-2 >> VietnamPav (Zitenmax) 

Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Несколько пострадаших есть на русскоязычных форумах. 

К зашифрованным файлам добавляется расширение: .encrypted

 Записка с требованием выкупа называется: How to restore files.hta

Содержание записки о выкупе:
All Files Encrypted !!!! - VietnamPav
You ID:
<pre>17780054208290***8600159</pre>
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.If you want to restore them, write us to the 
Mail: zitenmax@rambler.ru 
 
Перевод записки на русский язык:
Все файлы зашифрованы !!!! - VietnamPav
Ваш ID:
<pre> 17780054208290 *** 8600159 </pre>
Вы должны платить за расшифровку в биткойнах. Цена зависит от быстроты вашего ответа нам. После оплаты мы отправим вам дешифратор, который расшифрует все ваши файлы. Если вы хотите их вернуть, пишите нам на Почту: zitenmax@rambler.ru

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Удаляет теневые копии файлов. 

 Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to restore files.hta - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: zitenmax@rambler.ru 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 156ed66fb7257ef1bdd6385c71e5aa83
SHA-1: 2d302323eab61e5791ab5ce2c6728e6708743bed
SHA-256: 028f0b1092caf4711857d0958bc798882c4ac9285895c3628f5be0c988f1d560
Vhash: 0250861d1c0d1c0515051069z19z25z23z3fz
Imphash: c9e5491d4e0eaeb36f6523d5af04912f



 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать и использовать Globe-2 Decrypter по инструкции >>
 Thanks: 
 thyrex, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Автор: на

2 комментария:

  1. Unknown2 августа 2021 г. в 17:29

    Есть ли расшифровщик для расшифровки файлов?

    ОтветитьУдалить
    Ответы
    1. Amigo A3 августа 2021 г. в 12:57

      Смотрите выше Зеленый замок и ссылку там же.

      Удалить

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Подписаться на: Комментарии к сообщению (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *