GetYourFilesBack

GetYourFilesBack Ransomware

Ncorbuk Py Ransomware

Python-Ransomware, Eduware

(шифровальщик-вымогатель, обучатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название в исходниках: Python-Ransomware. На файле написано: Document.exe. Написан на языке программирования Python.
---
Обнаружения:
DrWeb -> Python.Encoder.39
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Ransom.jwcpb
BitDefender -> Gen:Variant.Bulz.566574
ESET-NOD32 -> Python/Filecoder.DP
Kaspersky -> Trojan-Ransom.Win64.Agent.dmc
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> Ransom.Wannacry
TrendMicro -> TROJ_FRS.VSNTH221
---

© Генеалогия: другие Python-вымогатели >> Cyrat Python > GetYourFilesBack (Python-Ransomware) 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в начале августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Не было получено доказательства активного распространения. 

Исходники находятся на сайте Github.com с 2019 года. Неясно, создан исполняемый образец GetYourFilesBack самим автором-разработчиком из исходников или кто-то другой скомпилировал его для собственной выгоды от вымогательства. 

В 2020 году в Дайджесте был описан Cyrat Python Ransomware, удивительно похожий на GetYourFilesBack, но некоторые визуальные элементы изменены. 

К зашифрованным файлам никакое расширение не добавляется или нет данных об этом. 

Записка с требованием выкупа называется: RANSOM_NOTE.txt

Содержание записки о выкупе:

The harddisks of your computer have been encrypted with an Military grade encryption algorithm.

There is no way to restore your data without a special key.

Only we can decrypt your files!

To purchase your key and restore your data, please follow these three easy steps:

1. Email the file called EMAIL_ME.txt at C:\Users\Admin/Desktop/EMAIL_ME.txt to GetYourFilesBack@protonmail.com

2. You will recieve your personal BTC address for payment.

   Once payment has been completed, send another email to GetYourFilesBack@protonmail.com stating "PAID".

   We will check to see if payment has been paid.

3. You will receive a text file with your KEY that will unlock all your files. 

   IMPORTANT: To decrypt your files, place text file on desktop and wait. Shortly after it will begin to decrypt all files.

WARNING:

Do NOT attempt to decrypt your files with any software as it is obselete and will not work, and may cost you more to unlcok your files.

Do NOT change file names, mess with the files, or run deccryption software as it will cost you more to unlock your files-

-and there is a high chance you will lose your files forever.

Do NOT send "PAID" button without paying, price WILL go up for disobedience.

Do NOT think that we wont delete your files altogether and throw away the key if you refuse to pay. WE WILL.

Перевод записки на русский язык:

Жесткие диски вашего компьютера зашифрованы с алгоритмом шифрования военного уровня.

Без специального ключа невозможно восстановить ваши данные.

Только мы можем расшифровать ваши файлы!

Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:

1. Отправьте файл EMAIL_ME.txt с C:\Users\Admin/Desktop/EMAIL_ME.txt по email на адрес GetYourFilesBack@protonmail.com.

2. Вы получите свой личный BTC-адрес для оплаты.

   После завершения платежа отправьте еще один email на GetYourFilesBack@protonmail.com с указанием "PAID".

   Мы проверим, внесена ли оплата.

3. Вы получите текстовый файл с КЛЮЧОМ, который разблокирует все ваши файлы.

   ВАЖНО: Чтобы расшифровать файлы, поместите текстовый файл на рабочий стол и подождите. Вскоре после этого начнут расшифровываться все файлы.

ПРЕДУПРЕЖДЕНИЕ:

НЕ пытайтесь расшифровать ваши файлы с помощью какой-то программы, так как она устарела и не будет работать, а распаковка файлов может стоить вам дороже.

НЕ меняйте имена файлов, не связывайтесь с файлами и не запускайте программы для дешифрования, так как разблокировка файлов будет стоить вам дороже.

-и высока вероятность того, что вы потеряете свои файлы навсегда.

НЕ отправляйте "PAID" без оплаты, цена за непослушание удвоится.

НЕ думайте, что мы не удалим ваши файлы полностью и не выбросим ключ, если вы откажетесь платить. МЫ ЭТО СДЕЛАЕМ.

Также используется файл EMAIL_ME.txt, который нужно отправить вымогателям. 

Также используется изображение, заменяющее обои Рабочего стола. Текста нет, видимо картинка просто понравилась вымогателям и они её приложили вместо обычного текста. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список целевых директорий:

"Рабочий стол", "Загрузки", "Изображения", "Музыка", "Видео", "Документы"

Файлы, связанные с этим Ransomware:
RANSOM_NOTE.txt - название файла с требованием выкупа;
EMAIL_ME.txt - специальный файл;

PUT_ME_ON_DESKtOP.txt - специальный файл;

Document.exe - название вредоносного файла

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\Desktop\EMAIL_ME.txt

C:\Users\Admin\AppData\Local\Temp\Document.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: GetYourFilesBack@protonmail.com
BTC: 1EHmioBmujNAyVs5A6Uo1nfto9JZhGBDLd

Github.com: ncorbuk/Python-Ransomware

Youtube: ScL07VJJOX4

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5210735409235c1aaf674fefddd33e35

SHA-1: 7c75657618cdeb21eedd587d960a608c4ead60f1

SHA-256: 053e7603d2776f39c17d74cd5a095d2fa4727ce019cb91274c135be4b9732358

Vhash: 017076655d155515755048z5f!z

Imphash: 2cdcfb3a828433ba76b5b41f45519bd9

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Python-Ransomware (на Github.com) - 2019

Cyrat Python Ransomware - август 2020

GetYourFilesBack - август 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.