UkrainianBug

UkrainianBug Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> UkrainianBug

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце сентября 2021 г. Ориентирован на украинскоязычных пользователей, также распространяется по соседним странам: Украина, Россия, Беларусь, Словакия. 

К фейк-зашифрованным файлам добавляется расширение: .bugs

Фактически файлы только переименовываются, получая новое название по шаблону: 0x<hex>.bugs

Записки с требованием выкупа называются: 

1ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt

2ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt

Содержание записки о выкупе:

Увага! Ваші файли випадковим чином надійно зашифрувалися! Але ми можемо допомогти Вам. 

Для цього Вам необхідно звязатися з нами за адресою kcwjspen@gmail.com або emrahhalitoglu754@gmail.com 

Зробити це потрібно протягом 72 годин з моменту прочитання цього тексту, інакше ми не можемо гарантувати відновлення зашифрованих даних. 

Крім того, не намагайтеся будь-яким чином впливати на зашифровані файли, оскільки наслідки такого впливу можуть обнулити можливість відновлення файлів. 

З повагою до Вас!

Перевод записки на русский язык:

Внимание! Ваши файлы случайным образом надежно зашифровались! Но мы можем помочь Вам.

Для этого Вам необходимо связаться с нами по адресу kcwjspen@gmail.com или emrahhalitoglu754@gmail.com

Сделать это нужно в течение 72 часов с момента прочтения этого текста, иначе мы не можем гарантировать восстановление зашифрованных данных.

Кроме того, не пытайтесь каким-либо образом влиять на зашифрованные файлы, поскольку последствия такого воздействия могут обнулить возможность восстановления файлов.

С уважением к Вам!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся изменению:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

1ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt - название файла с требованием выкупа;

2ВАЖЛИВА ІНФОРМАЦІЯ!!!.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kcwjspen@gmail.com, emrahhalitoglu754@gmail.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HotCoffee

HotCoffee Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 1 кофе, чтобы вернуть файлы. Оригинальное название: HotCoffeeRansomware. На файле написано: HotCoffeeRansomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34366
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/FileCoder.bzuzi
BitDefender -> Trojan.Generic.30254142
ESET-NOD32 -> A Variant Of Win64/Filecoder.DY
Kaspersky -> HEUR:Trojan-Ransom.Win64.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/FileCoder.CK!MTB
Tencent -> Win64.Trojan.Generic.Svgu
TrendMicro -> CallTROJ_GEN.R002H0DIR21
---

© Генеалогия: ??? >> HotCoffee

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в конце сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .hotcoffee

Записка с требованием выкупа называется: HOT_COFFEE_README.hta

В заголовке экрана есть слова "surprise friend": 

Содержание записки о выкупе:

GIVE ME HOT COFFEE

You have been bamboozled by the hot coffee ransomware.

Your files have been encrypted using military grade encryption and only we have the decryption key.

If you want to get your files back you need to pay a ransom of 1 large long black with an extra espresso shot.

Email EMAIL@protonmail.com for further instructions. You have 7 days to pay or else.

Перевод записки на русский язык:

ДАЙТЕ МНЕ ГОРЯЧИЙ КОФЕ

Вы одурачены программой-вымогателем для горячего кофе.

Ваши файлы были зашифрованы с использованием шифрования военного уровня, и только у нас есть ключ дешифрования.

Если вы хотите вернуть свои файлы, вам нужно заплатить выкуп в размере 1 большой длинный черный с дополнительной порцией эспрессо.

Напишите на EMAIL@protonmail.com для получения дальнейших инструкций. У вас есть 7 дней на оплату или иначе.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOT_COFFEE_README.hta - название файла с требованием выкупа; 
HotCoffeeRansomware.exe - случайное название вредоносного файла; 

HotCoffeeRansomware.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\betha\source\repos\bethcoop\HCR\x64\Release\HotCoffeeRansomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: c054c0f03277f7f0bdad9350fa3d5c2d

SHA-1: 752071b548bb3a4c45c91174fcf5cf95ce99638a

SHA-256: 546f3a70ab029ad78105f1b7cf581038362cfbb3c7120326075552d72656ec98

Vhash: 075066651d1515651088z25xz25z

Imphash: bbb0f216d2c150cdf577e5b407a73162

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Koxic

Koxic Ransomware

Koxic Doxware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: enc.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34888
BitDefender -> Trojan.GenericKD.47895359
ESET-NOD32 -> A Variant Of Win32/Filecoder.OIT
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Ransom.Koxic.UPX
Microsoft -> Trojan:Win32/Woreflint.A!cl
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Dzuk
TrendMicro -> TROJ_GEN.R03FC0WAH22
---

© Генеалогия: ??? >> Koxic

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в сентябре 2021 и заново проявилась в середине января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение по шаблону: .KOXIC_XXXXX

Под XXXXX находятся 5 случайных английских букв в верхнем регистре. 

Примеры таких расширений: 

.KOXIC_JRCOD

.KOXIC_PLCAW

.KOXIC_JEWLD

Записка с требованием выкупа называется по шаблону: WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt

К названию записки добавляется XXXXX из расширения. 

Примеры таких записок:

WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt

WANNA_RECOVER_KOXIC_FILEZ_JRCOD.txt

WANNA_RECOVER_KOXIC_FILEZ_JEWLD.txt

Содержание записки о выкупе (1-й вариант):

--=== Hello. ===---

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable.

All sensitive information also leaked.

By the way, everything is possible to recover (restore), but you need to follow our instructions.

Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+] 

Its just a business. We absolutely do not care about you and your deals, except getting benefits.

If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests. 

To check the ability of returning files, You should send sample to us to decrypt one file for free. That is our guarantee.

If you will not cooperate with our service - for us, its does not matter. 

But you will lose your time and data, cause just we have the private key.

In practise-time is much more valuable than money. 

[+] How to contact us? [+]

You have two ways: 

1) [Recommended] Using an email

Just write us an email to wilhelmkox@tutanota.com

2) Quick contact with us or if you will not receive our letters download qTox and ADD our TOXID:  F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F 

How to download QTOX:

 - hxxxs://tox.chat/download.html

 - hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe 

Add our mails to contacts so as not to lose letters from us.

Check your spam sometimes, our emails may get there.

[+] Consequences if we do not find a common language [+]

1. The data were irretrievably lost.

2. Leaked data will be published or sold on blmarket (or to competitors).

3. In some cases, DDOS attacks will be applied to your inftastructure.

!!! DANGER !!!

DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.

!!! !!! !!! 

ONE MORE TIME: Its in your interests to get your files back. 

From our side, we (the best specialists) make everything for restoring, but please should not interfere. 

!!! !!! !!! 

Your UserID:

7A7483EFBB230F1AF454DEFDC27*** (всего 1094 знака)

Перевод записки на русский язык:

--=== Привет. ===---

[+] Что случилось? [+]

Ваши файлы зашифрованы и теперь недоступны.

Вся конфиденциальная информация также утекла.

Кстати, вернуть (восстановить) можно все, но нужно следовать нашей инструкции.

Иначе вы не сможете вернуть свои данные (НИКОГДА).

[+] Какие гарантии? [+]

Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, кроме получения выгоды.

Если мы не будем выполнять свою работу и обязательства - с нами никто сотрудничать не будет. Это не в наших интересах.

Чтобы проверить возможность возврата файлов, Вы должны отправить нам образец для расшифровки одного файла бесплатно. Это наша гарантия.

Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения.

Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.

На практике время гораздо ценнее денег.

[+] Как с нами связаться? [+]

У вас есть два пути:

1) [Рекомендуется] Использование email

Просто напишите нам письмо на адрес wilhelmkox@tutanota.com

2) Быстрый контакт с нами или если вы не получите наши письма, скачайте qTox и ДОБАВЬТЕ наш TOXID: F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F

Как скачать QTOX:

 - hxxxs://tox.chat/download.html

 - hxxxs://github.com/qTox/qTox/releases/download/v1.17.3/setup-qtox-x86_64-release.exe

Добавляйте наши почты в контакты, чтобы не терять письма от нас.

Иногда проверяйте спам, наши письма могут попасть туда.

[+] Последствия, если мы не найдем общий язык [+]

1. Данные безвозвратно утеряны.

2. Утечка данных будет опубликована или продана на blmarket (или конкурентам).

3. В некоторых случаях DDOS-атаки будут применяться к вашей инфраструктуре.

!!! ОПАСНОСТЬ !!!

НЕ пытайтесь изменять файлы самостоятельно, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, Утерю всех данных.

!!! !!! !!!

ЕЩЕ РАЗ: В ваших интересах вернуть свои файлы.

Со своей стороны, мы (лучшие специалисты) делаем все для восстановления, но просьба не мешать.

!!! !!! !!!

Ваш UserID:

7A7483EFBB230F1AF454DEFDC27*** (всего 1094 знака)

---

Содержание записки о выкупе (2-й вариант):

Hello, all your important files are encrypted and sensitive data leaked.

To decrypt your files and avoid other unpleasant things you need to buy special decryption tool.

Contact us via koxic@cock.li or koxic@protonmail.com and tell your UserID.

This is the only way to decrypt your files and avoid public disclosure of data .

Do not try to use third party software (it may corrupt your files).

We respect black market rules. We can confirm the ability to decrypt your files (and of course the evidence of the leak ),

Send us several unimportant files (do not try to deceive us).

Your UserID (send it to us for decryption):

7A76EE61010997BC8932F7EAF2*** (всего 1094 знака)

Перевод записки на русский язык:

Привет, все ваши важные файлы зашифрованы, а деликатные данные слиты.

Чтобы расшифровать ваши файлы и избежать других неприятных вещей, вам нужно купить специальный инструмент для расшифровки.

Свяжитесь с нами по адресу koxic@cock.li или koxic@protonmail.com и сообщите ваш UserID.

Это единственный способ расшифровать ваши файлы и избежать публичного раскрытия данных.

Не пытайтесь использовать сторонние программы (это может повредить ваши файлы).

Мы уважаем правила черного рынка. Мы можем подтвердить возможность расшифровки ваших файлов (и конечно доказательства утечки),

Пришлите нам несколько неважных файлов (не пытайтесь нас обмануть).

Ваш UserID (отправьте его нам для расшифровки):

7A76EE61010997BC8932F7EAF2*** (всего 1094 знака)

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, завершает работу и отключает запуск некоторых служб:

vssadmin delete shadows /all /quietsc config browsersc config browser start=enabledsc stop vsssc config vss start=disabledsc stop MongoDBsc config MongoDB start=disabledsc stop SQLWritersc config SQLWriter start=disabledsc stop MSSQLServerOLAPServicesc config MSSQLServerOLAPService start=disabledsc stop MSSQLSERVERsc config MSSQLSERVER start=disabledsc stop MSSQL$SQLEXPRESSsc config MSSQL$SQLEXPRESS start=disabledsc stop ReportServersc config ReportServer start=disabledsc stop OracleServiceORCLsc config OracleServiceORCL start=disabledsc stop OracleDBConsoleorclsc config OracleDBConsoleorcl start=disabledsc stop OracleMTSRecoveryServicesc config OracleMTSRecoveryService start=disabledsc stop OracleVssWriterORCLsc config OracleVssWriterORCL start=disabledsc stop MySQLsc config MySQL start=disabled 

➤ Модифицирует в реестре настройки безопасности и защиту Windows в реальном времени. Отключает уведомления панели задач. 

Самоудаляется с помощью командного файла. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WANNA_RECOVER_KOXIC_FILEZ_XXXXX.txt - название файла с требованием выкупа;

enc.exe (fo60iz92f.dll) - название вредоносного файла;

NTNNFVAWI - файл с информацией о компьютере.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: wilhelmkox@tutanota.com

Email-2: koxic@cock.li, koxic@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5a44e1d5691ec9395281123ea0bd501f

SHA-1: 64566d5049479227d2eff3d983b127c0339974cd

SHA-256: 7a5e20e021dc29a07cad61f4d0bdb98e22749f13c3ace58220bfe978908bb7e9

Vhash: 035056657d555560b8z667z27z13z1fz

Imphash: 79c5ab03c02854a056630e291956340b

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 14ee62fcc9163509856671400429ad55

SHA-1: 7544332b52769ca853d900669ef5e272a2ae1665

SHA-256: 699159e695e230a48d94b6103b48940ed596d0b48fb6d936c04d86eed539cecd

Vhash: 01503e0f7d5019z47z17z13z1fz

Imphash: 07253c21dea4ccc980c087252fddc7a8

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Akbird
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BlackSun

BlackSun Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп 10.000 Euro в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: BlackSun. На файле написано: BlackSun.ps1. 
---
Обнаружения:
DrWeb -> PowerShell.Encoder.17

ALYac -> Trojan.Ransom.Powershell

Avira (no cloud) -> TR/Ransom.Blacksun.A

BitDefender -> Trojan.Agent.FNDH
ESET-NOD32 -> PowerShell/Filecoder.AN
Kaspersky -> Net-Worm.PowerShell.BlackSun.a
Malwarebytes -> 
Microsoft -> Trojan:Win32/Vigorf.A
Rising -> Ransom.BlackSun/PS!1.D9AA (CLASSIC)
Symantec -> Trojan.Gen.NPE
Tencent -> Net.Worm-net.Blacksun.Loik
TrendMicro -> TROJ_FRS.0NA103J421
---

© Генеалогия: ??? >> BlackSun

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .BlackSun

Записка с требованием выкупа называется: BlackSun_README.txt

Содержание записки о выкупе:

*** BlackSun PROJECT ***

All your data has been encrypted. Documents, photos, databases, backups.

HOW CAN I GET MY DATA BACK?

Your data is not destroyed.

your data are however encrypted with SSL encryption, the only way to decrypt them is to have the decryption code and software.

don't try to decrypt the files by yourself, you will damage them and make the recovery impossible.

HOW CAN I GET THE DECRYPTION SOFTWARE?

To get the software you will have to pay a certain amount of money. (10.000 euro in Monero Cryptocurrency)

You need to contact us at this email: bsprj1020@protonmail.com and we will tell you how to pay. You have 10 days starting from now.

Перевод записки на русский язык:

*** BlackSun ПРОЕКТ ***

Все ваши данные зашифрованы. Документы, фото, базы данных, резервные копии.

КАК Я МОГУ ВОССТАНОВИТЬ ДАННЫЕ?

Ваши данные не уничтожены.

ваши данные только зашифрованы с помощью SSL-шифрования, единственный способ их расшифровать - это иметь код дешифрования и программу.

не пытайтесь расшифровать файлы сами, вы повредите их и сделаете восстановление невозможным.

КАК Я МОГУ ПОЛУЧИТЬ ПРОГРАММУ ДЛЯ РАСШИФРОВКИ?

Для получения программы вам надо заплатить определенную сумму денег. (10.000 евро в криптовалюте Monero)

Вам надо связаться с нами по этому email: bsprj1020@protonmail.com, и мы расскажем, как заплатить. У вас есть 10 дней, начиная с этого времени.

Скриншоты, демонстрирующие процесс выполнения вредоносных действий, включая шифрование файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует PowerShell для совершения вредоносных действий. 

Список типов файлов, подвергающихся шифрованию:
.3ds, .3fr, .3pr, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .apj, .arw, .asp, .awg, .backup, .backupdb, .bak, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .cls, .cmt, .cpi, .cr2, .craw, .crt, .crw, .csh, .csl, .csv, .dac, .DATA, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dwl, .dxb, .edb, .erbsql, .erf, .exf, .exp, .FAD, .fdb, .ffd, .fff, .fh, .fhd, .FORM, .fpx, .fxg, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .kdbx, .kpdx, .ldf, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pfx, .php, .png, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .PROG, .psafe3, .psd, .ptx, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .zip (231 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые директории и файлы: 

"AppData", "Application Data", "AppCache", "Temporary Internet Files", "INetCache", "ProgramData", "Program Files", "Microsoft", "Chrome", "ConnectedDevicesPlatform", "winnt", "boot", "Packages", "Mozilla", "Recycle", "setup", "install", "Thumbs.db", "Thumb.db", "temp", "tmp", "System Volume Information", "Microsoft", "Windows", "BlackSun", "x86"

Уничтожает все доступные локальные и внешние бэкапы, запрещает возобновление. Уничтожает файлы бэкапов следующих типов: 

.backup, .bco, .bkf, .bks, .dem, .gho, .gho, .iv2i, .tib, .tibx, .vbk, .vbm, .vhdx .vib, .vrb 

Файлы, связанные с этим Ransomware:
BlackSun.ps1 - название вредоносного файла;

BlackSun_README.txt - название файла с требованием выкупа; 

ioq3v72yf.dll - случайное название вредоносного файла; 

blacksun.jpg - изображение, заменяющее обои Рабочего стола. 

BlackSun_DRIVE_LOCAL_C

BlackSun_FILESON_LOCAL_C

BlackSun_BACKUPS_LOCAL_

BlackSun_TMPALL

BlackSun.log

BlackSun.log.zip

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Public\pictures\blacksun.jpg

C:\Users\User\AppData\Local\Temp\BlackSun_DRIVE_LOCAL_C

C:\Users\User\AppData\Local\Temp\BlackSun_FILESON_LOCAL_C

C:\Users\User\AppData\Local\Temp\BlackSun_TMPALL

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bsprj1020@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 3ebab71cb71ca5c475202f401de008c8

SHA-1: e0afcf804394abd43ad4723a0feb147f10e589cd

SHA-256: e5429f2e44990b3d4e249c566fbf19741e671c0e40b809f87248d9ec9114bef9

Vhash: 2f04266c495dff557609a6b9b89dbefa

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.