Если вы не видите здесь изображений, то используйте VPN.

суббота, 28 августа 2021 г.

Penta

Penta Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Penta Ransomware


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.0035 BTC, чтобы вернуть файлы. Оригинальное название: Penta. На файле написано: Penta.exe.

---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36585
BitDefender -> Trojan.GenericKD.37497577
ESET-NOD32 -> A Variant Of MSIL/ClipBanker.SX
Kaspersky -> HEUR:Trojan-Dropper.MSIL.Autit.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/Penta.B!MTB
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Penta.R067C0DIG21
---

© Генеалогия: ??? >> Penta


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Образец этого крипто-вымогателя был обнаружен в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .PENTA 

Записка с требованием выкупа называется: PENTA_README.txt

Penta Ransomware, note

Содержание записки о выкупе:

If you want to recover your files, follow these commands and purchase a recovery key.
====================================================
1. Please contact us by email below and send us your VH2S, which is your VICTOM number.
2. If you have sent the correct VICTOM number via email, you will be sent a site where you can purchase the recovery key.
3. Go to the www.torproject.org site and download the Tor browser.
4. Please connect to the site and send 0.0035 bitcoin to the bitcoin wallet written on the site. If you don't have bitcoin, buy it with your credit card and send it.
5. If the purchase is complete, download and run the recovery key. Your files will be restored if the program has run normally. If you run the program and nothing happens, please run the program again.
==========EMAIL==========
pentros30@protonmail.com
pentaxyz777@protonmail.com
gxa34rttf50gqlagnes@gmail.com


Перевод записки на русский язык:
Если вы хотите восстановить файлы, следуйте этим командам и купите ключ восстановления.
================================================== ==
1. Напишите нам на email ниже и отправьте нам свой VH2S, который является вашим номером ЖЕРТВЫ.
2. Если вы отправили правильный номер ЖЕРТВЫ на email, вам будет отправлен сайт, на котором вы сможете купить ключ восстановления.
3. Зайдите на сайт www.torproject.org и загрузите браузер Tor.
4. Подключитесь к сайту и отправьте 0.0035 биткойнов на биткойн-кошелек, указанный на сайте. Если у вас нет биткойнов, купите его с помощью кредитной карты и отправьте.
5. Если покупка завершена, загрузите и запустите ключ восстановления. Ваши файлы будут восстановлены, если программа работает нормально. Если при запуске программы ничего не происходит, запустите ее еще раз.
==========EMAIL==========
pentros30@protonmail.com
pentaxyz777@protonmail.com
gxa34rttf50gqlagnes@gmail.com



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

В зашифрованном файле содержится ключ шифрования. 




Файлы, связанные с этим Ransomware:
PENTA_README.txt - название файла с требованием выкупа;
PENTA.exe - название вредоносного файла;
PENTA_RANSOMWARE.exe - название вредоносного файла. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pentros30@protonmail.com
pentaxyz777@protonmail.com
gxa34rttf50gqlagnes@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: ebe64febebaba6afb65f51168a40934b
SHA-1: 9e04c2831f89085edc646cdf25afbdf24d3236be
SHA-256: e990841e3e475107fcd59bee9ab18b79d44d8602e20b877a6959a68117540365
Vhash: 27403665151110262f122080
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 11 сентября 2021:
Записка: PENTA_README.txt
BTC: 0.0035
Email: pentros30@protonmail.com
Tor-URL: www.pentakey_35FH_0V1X_GRR3.onion
Файл: PENTA_RANSOMWARE.exe
Результаты анализов: 
IOS: VT, AR
MD5: 81f5893f673b81ed4a271634c899aed2






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 Petrovic, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SanwaiCrypt

SanwaiCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.002077 BTC, чтобы вернуть файлы. Оригинальное название: SanwaiCrypt и sanwaiWare 2021. На файле написано: gerjjkrkjjk33.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36493
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.Injector.gzsbs
BitDefender -> Trojan.Generic.30043531
ESET-NOD32 -> Win32/Filecoder.OIJ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypmod.gen
Malwarebytes -> Malware.AI.3537836220
Microsoft -> Ransom:Win32/SanwaiCrypt.PA!MTB
Tencent -> Win32.Trojan.Filecoder.Aihk
TrendMicro -> Ransom.Win32.SANWAI.A
---

© Генеалогия: ??? >> SanwaiCrypt


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sanwai

Записки с требованием выкупа называются: 
IMPORTANT.txt
IMPORTANT.html


Содержание записки IMPORTANT.txt:
!! sanwaiWARE !!
YOUR FILES HAVE BEEN ENCRYPTED. THE ONLY WAY TO GET THEM BACK IS BY MAKING PAYMENT.
TO GET YOUR FILES BACK, YOU MUST:
- SEND 0.002077 BITCOIN TO bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
 * MAKE SURE YOU COVER THE FEES AND SEND THE EXACT AMOUNT TO THE ADDRESS!
ONCE THE PAYMENT IS MADE, OPEN DECRYPTOR FILE ON DESKTOP AND YOU WILL HAVE ACCESS TO ALL OF YOUR FILES AGAIN, AND THIS WILL NOT HAPPEN AGAIN
sanwaiWare 2021

Перевод записки 
IMPORTANT.txt на русский язык:
!! sanwaiWARE !!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. ЕДИНСТВЕННЫЙ СПОСОБ ВЕРНУТЬ ИХ - ЗАПЛАТИТЬ.
ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ, ВЫ ДОЛЖНЫ:
- ОТПРАВИТЬ 0.002077 БИТКОИНА НА bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
* УБЕДИТЕСЬ, ЧТО ВЫ ОПЛАТИЛИ СБОР И ОТПРАВИЛИ ТОЧНУЮ СУММУ НА АДРЕС!
ПОСЛЕ СЛОВА ОПЛАТЫ ОТКРОЙТЕ ФАЙЛ ДЕКРИПТОРА НА РАБОЧЕМ СТОЛЕ, И ВЫ ПОЛУЧИТЕ ДОСТУП КО ВСЕМ ВАШИМ ФАЙЛАМ, И ЭТО БОЛЬШЕ НЕ СЛУЧИТСЯ.
sanwaiWare 2021


Содержание записки IMPORTANT.html:
sanwaiWare 2021
Your files have been encrypted.
PAYMENT
Send 0.002077 BITCOIN to
bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
AFTER PAYMENT
Once you have sent payment, open the Decryptor on your Desktop.
Attempting to reverse will result in your files being lost forever.
PAYMENT NOTICE
You have (48) hours from initial notice to make payment.
If payment is not made within the time frame, your files will be deleted.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
gerjjkrkjjk33.exe - название вредоносного файла; 
h6vn2o125.dll - название вредоносного файла; 
decryptor.exe 
- название файла дешифровщика. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 
bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e530cbe69e8f66f8a8560ad9f31bfdf3
SHA-1: f72ca49a000436158abb13902e4b5a864729723a
SHA-256: 9d6a780c9d7d1b3d95717fda1f4b388aef2d7282884b0c84714e3755dbabb71b
Vhash: 055056656d155560a2z13z38nz24z21384z1
Imphash: 3d969f9aab4c7fb9b9db6eeb3737ae56


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 27 августа 2021 г.

HQ_52_42

HQ Ransomware

HQ_52_42 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


HQ Ransomware


Этот крипто-вымогатель шифрует данные в корпоративной сети с помощью AES+RSA, а затем требует выкуп в 25-35 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: HQ_52_42.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34387, Trojan.Encoder.34388
ALYac -> Trojan.Ransom.WannaSmile
Avira (no cloud) -> TR/AD.ZCrypt.oytdw, TR/AD.ZCrypt.nbrdh
BitDefender -> Gen:Variant.Ransom.HQ.1, Gen:Heur.Mint.Zard.2
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIC
Kaspersky -> HEUR:Trojan.Win32.Udochka.gen, HEUR:Trojan-Ransom.Win32.Instructions.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/HQCrypt.PA!MTB
Rising -> Trojan.Generic@ML.82 (RDMK:*
Symantec -> Ransom.Crysis, Downloader
Tencent -> Win32.Trojan.Filecoder.Pcir, Win32.Trojan.Filecoder.Pcsb
TrendMicro -> Ransom.Win32.ZCRYPT.SM
---

© Генеалогия: ✂ WannaSmile >> HQ_52_42


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .HQ_52_42

Записка с требованием выкупа называется: How to decrypt files.html

HQ Ransomware, note

Содержание записки о выкупе:
ALL YOUR PERSONAL FILES ARE ENCRYPTED
All your data (photos, documents, database, ...) have been encrypted with a private and unique key generated for this Network. It means that you will not be able to access your files anymore until they’re decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments. If you don’t know how to get Bitcoins, you can google “How to Buy Bitcoins” and follow the instructions.
To recover your files and unlock your computers, you must send 25 Bitcoins (This amount for all Network), to the next Bitcoin address:
bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx
YOU ONLY HAVE 1 WEEK TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to 35 Bitcoins. Also, if you don’t pay in 2 Week, your unique key will be destroyed and you won’t be able to recover your files anymore.
WARNING!
DO NOT TRY TO GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.
After Payment , Send message to XMPP ID ( rans_contact@xmpp.jp ) for receive Private Key

Перевод записки на русский язык:
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные (фото, документы, база данных, ...) были зашифрованы с помощью частного и уникального ключа, сгенерированного для этой Сети. Это означает, что вы больше не сможете получить доступ к своим файлам, пока они не будут расшифрованы. Закрытый ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это сделать платеж.
Оплата должна быть произведена в биткойнах на уникальный адрес, который мы создали для вас. Биткойны - это виртуальная валюта для совершения онлайн-платежей. Если вы не знаете, как получить биткойны, вы можете погуглить «Как купить биткойны» и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютеры, вы должны отправить 25 биткойнов (эта сумма для всей сети) на следующий биткойн-адрес:
bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx
У ВАС ЕСТЬ ТОЛЬКО 1 НЕДЕЛЯ, ЧТОБЫ ОПЛАТИТЬ ПЛАТЕЖ! Когда отведенное время истечет, оплата увеличится до 35 биткойнов. Кроме того, если вы не заплатите в течение 2 недель, ваш уникальный ключ будет уничтожен, и вы больше не сможете восстановить свои файлы.
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА РАСШИФРОВКИ. ВЫ ПОТЕРЯЕТЕ СВОИ ФАЙЛЫ НАВСЕГДА. ЕДИНСТВЕННЫЙ СПОСОБ СОХРАНЕНИЯ ФАЙЛОВ - СЛЕДОВАТЬ ИНСТРУКЦИЯМ.
После оплаты отправьте сообщение на XMPP ID (rans_contact@xmpp.jp) для получения закрытого ключа



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to decrypt files.html - название файла с требованием выкупа;
HQ_52_42.exe - название вредоносного файла; 
HQ_52_42.pdb - название файла проекта;
js-файлы. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\bigbang\Desktop\al-madani\Release\HQ_52_42.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
XMPP: rans_contact@xmpp.jp
BTC: bc1qa4gaetvff7fk0hz2uz63vkjnd2lxd8kdkt04hx
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 484169de5d8c8f283e0b0a1054d3f987
SHA-1: abe62e9356b7291adc35b5672fa92ea2600d60d4
SHA-256: 3ee2e13b3cdae92f1af84610e9b81f7f5d9223b647e5f0e14844fc87a5ae65c4
Vhash: 085076655d551d15556038z5fjz11z3fz
Imphash: 247705c5d89e4ef39be82f4712c40efa
---
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: b245aea38d0273448c1396394f3a6882
SHA-1: 4f8b8a4de89cd84a3f11fa13739cc5b8b63c01c5
SHA-256: f9d676d0317d3adef926e5ebe489de13c89385df2948170e5edb01fa2911bdae
Vhash: 085076655d551d15556038z5fjz11z3fz
Imphash: 247705c5d89e4ef39be82f4712c40efa

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 23 августа 2021 г.

LCRY

LCRY Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LCRY. На файлах написано: LCRY.exe, LCRY_DECRYPTOR.exe, winnt32.exe. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34448, Trojan.Encoder.34459
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.DV
Kaspersky -> Trojan.Win32.Bingoml.cfgy
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/SystemHijack.gen, Trojan:Win32/Bingoml!mclg
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Pezj, Win32.Trojan.Bingoml.Amcl
TrendMicro -> TROJ_GEN.R002C0DHQ21, TROJ_GEN.R06BC0WHQ21
---

© Генеалогия: ??? >> LCRY


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Даты компиляции исполняемых файлов приходятся на март-апрель 2021 г. 

К зашифрованным файлам добавляется расширение: .LCRY

Записка с требованием выкупа называется: LCRY_README.txt



Содержание записки о выкупе:
YOU ARE NOW VICTIM OF LCRY RANSOMWARE!
YOUR FILES ARE ENCRYPTED USING A STRONG ALGORITHM!
YOU HAVE NO WAY TO DECRYPT YOUR FILES UNLESS YOU PURCHASE A KEY!
DON'T WORRY!THE KEY IS EASY TO PURCHASE IF YOU FOLLOW THE INSTRUCTIONS!
     1.REGISTER AN EMAIL ACCOUNT.
     2.CONTACT leo20090707@outlook.com!
     3.GIVE OUT YOUR MACHINE ID IN [SYSTEMDRIVE]\LCRY_MACHINEID.ID.
     4.PURCHASE THE KEY AND REMEMBER IT.
     5.OPEN [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE OR THE EXE OF LCRY RANSOMWARE YOU JUST OPENED.
     6.ENTER THE KEY.
     7.WAIT FOR YOUR FILES TO BE DECRYPTED.
PLEASE FOLLOW THE INSTRUCTIONS OR YOU MUST SAY GOODBYE TO YOUR FILES!

Перевод записки на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ LCRY RANSOMWARE!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ С ИСПОЛЬЗОВАНИЕМ НАДЕЖНОГО АЛГОРИТМА!
У ВАС НЕТ ВОЗМОЖНОСТИ РАСШИФРОВАТЬ СВОИ ФАЙЛЫ, ЕСЛИ ВЫ НЕ КУПИТЕ КЛЮЧ!
НЕ ВОЛНУЙТЕСЬ, КЛЮЧ ЛЕГКО КУПИТЬ, ЕСЛИ СЛЕДОВАТЬ ИНСТРУКЦИИ!
      1. ЗАРЕГИСТРИРУЙТЕ EMAIL АККАУНТ.
      2. НАПИШИТЕ leo20090707@outlook.com!
      3. УКАЖИТЕ ВАШ MACHINE ID В [SYSTEMDRIVE]\LCRY_MACHINEID.ID.
      4. КУПИТЕ КЛЮЧ И ЗАПОМНИТЕ ЕГО.
      5. ОТКРОЙТЕ [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE ИЛИ EXE ФАЙЛ LCRY RANSOMWARE, КОТОРЫЙ ВЫ ОТКРЫЛИ.
      6. ВВЕДИТЕ КЛЮЧ.
      7. ДОЖДИТЕСЬ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ.
СЛЕДУЙТЕ ИНСТРУКЦИЯМ, ИНАЧЕ ПРОЩАЙТЕСЬ СО СВОИМИ ФАЙЛАМИ!



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LCRY_README.txt - название файла с требованием выкупа; 
LCRY_MACHINEID.id - файл с 16 знаками; 
LCRY.exe 
 - название вредоносного файла; 
LCRY_DECRYPTOR.exe или winnt32.exe - название вредоносного файла.




Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: leo20090707@outlook.com 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: bc0b5052b957c3bedff6bb3cb6e0d646
SHA-1: 593a2d83afdf8377207af4b1b20573a2aa83b7bf
SHA-256: 4e33391000cf4732b82569f2ff0196e3cfee10a67b7dcaf52070ac7e2f79826e
Vhash: 04503e0f7d1015z11z4hz13z1fz
Imphash: 4464878084141aa454cc76b8e0df8945
---
IOC: VT, HA, IATG, AR, VMR, JSB
MD5: ee4fa8efb7477465a3f8a29a8e2a2e29
SHA-1: 6a0f698712161fae61dcbf811841b509b42cb08c
SHA-256: 402313e6b87dd3ef9e3b848b315bf3e6fdb3fe6671bdca38fcadfe8396536de7
Vhash: 04503e0f7d1015z11z4hz13z1fz
Imphash: 4464878084141aa454cc76b8e0df8945

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 октября 2021: 
Расширение: _lcry_enc
Email: leo20090707@outlook.com 
Файл проекта: E:\Cpp\LCRY_new\x64\Release\LCRY_new.pdb
Файл EXE: LCRY_new.exe
IOS: VT: MD5: dc45ba4d1723097610d6e353ee388921





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *