Salma

Salma Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $50 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ConsoleApplication1.exe, другие названия файлов см. в конце статьи. Вероятно, файлы можно будет расшифровать. 
---
Обнаружения на разные файлы:
DrWeb -> Trojan.DownLoader33.22293 / Trojan.DownloaderNET.188, BackDoor.AsyncRATNET.2 / Trojan.MulDrop18.6953
BitDefender -> Trojan.GenericKD.46701480 / Gen:Variant.Razy.833857
ESET-NOD32 -> A Variant Of MSIL/TrojanDownloader.Agent.HMU / MSIL/TrojanDownloader.Agent.IKV
Malwarebytes -> Trojan.Downloader.MSIL.Generic
TrendMicro -> TROJ_GEN.R002H0CGS21
---

© Генеалогия: ??? >> Salma > SG1995

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в начале августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .salma

Записка с требованием выкупа называется: read_me.txt

Содержание записки о выкупе:

what happened to your files?

all of your important files have been encrypted

how to restore your files?

you need to pay 50$ in bitcoin

what guarantee that we would not scam you?

you can send us one test file by email and we will decrypt it for free

how to contact us?

send us an email and the subject contains the id: 211212XXXXXXXXXXXX

our emails: 

mangerman@firemail.de

assistant@firemail.de

Finally:

- donot change the files extension (.salma)

- donot try to change any thing in the files

Перевод записки на русский язык:

что случилось с вашими файлами?

все ваши важные файлы были зашифрованы

как восстановить ваши файлы?

нужно заплатить 50 $ в биткойнах

какая гарантия, что мы вас не обманем?

Вы можете отправить нам один тест-файл по email, и мы бесплатно расшифруем его

как с нами связаться?

отправьте нам email, в теме которого указан id: 211212002417878201

наши email:

mangerman@firemail.de

assistant@firemail.de

Итак:

- не меняйте расширение файлов (.salma)

- не пытайтесь изменить что-либо в файлах

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
read_me.txt - название файла с требованием выкупа;

github.com: school design.gz -> school.scr (ConsoleApplication1.exe) - троян-загрузчик; 

cdn.discordapp.com: 2001400.exe - AsyncRAT - "крыса" для удаленного управления; 

windowsdll.exe (ConsoleApplication1.exe) - вредоносный файл, мульти-дроппер. 

Мьютекс: zfoxpgrsnkfnihoi

AES-key: 1v6C1irnhifSOisAfMGy6AaskKzvBOPA

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mangerman@firemail.de, assistant@firemail.de
URL: неактивный сайт

BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC-1: VT, HA, IA, TG, AR, VMR, JSB

MD5: a7bc81ec6667f411f109732bb819a99e

SHA-1: b40c25d873af94a066cf41682b2a420cf801b81d

SHA-256: 7887a4ade805ed36545f5533c1d8e111bce53b653bcda16a0083e339990a2c0d

Vhash: 27403665651330a58171010

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

---

IOC-2: VT, HA, IA, TG, AR, VMR, JSB

MD5: c46d96f5697de7d8d67ebeacaebaa7c8

SHA-1: f72827953040e0d6eebd403fd7c37f33eeea2c2a

SHA-256: 94b35075a258744827a0142ced38566957ffd306cbfc8afc84a2273a11020de8

Vhash: 24703665151ff0a581710149

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 2 февраля 2022:  

Сообщение >>

Расширение: .SG1995

Записка: read_me.txt

Email: spiderman2022@msgsafe.io, spiderman2022@onionmail.org

Файл проекта: C:\Users\ICC\Desktop\ConsoleApplication1\ConsoleApplication1\obj\x86\Release\ConsoleApplication1.pdb

Файл EXE: ConsoleApplication1.exe
Результаты анализов: VT + IA

➤ Обнаружения:

DrWeb  -> Trojan.EncoderNET.33

BitDefender -> Trojan.GenericKD.38892411

ESET-NOD32 -> A Variant Of MSIL/Agent.UQD

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R002C0PB522

➤ Содержание записки: 

what happened to your files?

all of your important files have been encrypted

how to restore your files?

you need to pay (500$) in bitcoin

what guarantee that we would not scam you?

you can send us one test file by email and we will decrypt it for free

how to contact us?

send us an email..the subject contains your ID and one encrypted file as attachmet

our emails: 

spiderman2022@msgsafe.io

spiderman2022@onionmail.org

Finally:

--donot try to change any thing in the encrypted files

--donot send us any email without your ID and one encrypted file as attachmet , your email will be ignored!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.