CryptoJoker 2021 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: более ранние варианты > CryptoJoker 2019 > CryptoJoker 2020 > CryptoJoker 2021
Сайт "ID Ransomware" идентифицирует это как CryptoJoker.
Информация для идентификации
Активность этого крипто-вымогателя была в середине октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .encrypted
Фактически используется составное расширение: .partially.[encrypter@tuta.io].encrypted
Но используется, как в предыдущих вариантах, в составе двух типов:
.partially
.fully
Одно используется для частичного шифрования файлов, другое для полного шифрования файлов.
Записка с требованием выкупа называется: how to decrypt my files.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
hello !!! all your data is encrypted..
and for decrypt it you need a key..
if you want to return your data :
contact us whit this email :
encrypter@tuta.io
warning : please be careful if you try decrypt it
yourself or change windows or every things
you may damage it and damage the some hidden
necessary decryption files
Перевод записки на русский язык:
Привет !!! все ваши данные зашифрованы..
а для его расшифровки нужен ключ..
если вы хотите вернуть свои данные:
свяжитесь с нами по этому email:
encrypter@tuta.io
предупреждение: будьте осторожны, если попробуете расшифровать
сами или сменить windows или все прочее
вы можете повредить эти файлы и некоторые другие скрытые
необходимые для дешифрования файлы
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
how to decrypt my files.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Частично зашифрованные файлы выглядят следующим образом:
![CryptoJoker 2021 .partially.[encrypter@tuta.io].encrypted](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgCQEo_EIZNG5eO6ZfdINZvsH0BfefTx77WacUzso3D5SnLk5IKLqQxAc1lasd1J06pmaNcWudoyuNjwpgWSeY0-bis9WFOzm9O6C7keulv1KppLQt3N4ES7sJ99m6tZy4vzuOd20mkwIs/s874/Screen_1.png "CryptoJoker 2021 .partially.[encrypter@tuta.io].encrypted")
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: encrypter@tuta.io
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021
CryptoJoker 2022 Ransomware - март 2022
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Thanks: Michael Gillespie, quietman7 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.