LCRY

LCRY Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LCRY. На файлах написано: LCRY.exe, LCRY_DECRYPTOR.exe, winnt32.exe. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34448, Trojan.Encoder.34459
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.DV
Kaspersky -> Trojan.Win32.Bingoml.cfgy
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/SystemHijack.gen, Trojan:Win32/Bingoml!mclg
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Pezj, Win32.Trojan.Bingoml.Amcl
TrendMicro -> TROJ_GEN.R002C0DHQ21, TROJ_GEN.R06BC0WHQ21
---

© Генеалогия: ??? >> LCRY

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Даты компиляции исполняемых файлов приходятся на март-апрель 2021 г. 

К зашифрованным файлам добавляется расширение: .LCRY

Записка с требованием выкупа называется: LCRY_README.txt

Содержание записки о выкупе:

YOU ARE NOW VICTIM OF LCRY RANSOMWARE!

YOUR FILES ARE ENCRYPTED USING A STRONG ALGORITHM!

YOU HAVE NO WAY TO DECRYPT YOUR FILES UNLESS YOU PURCHASE A KEY!

DON'T WORRY!THE KEY IS EASY TO PURCHASE IF YOU FOLLOW THE INSTRUCTIONS!

     1.REGISTER AN EMAIL ACCOUNT.

     2.CONTACT leo20090707@outlook.com!

     3.GIVE OUT YOUR MACHINE ID IN [SYSTEMDRIVE]\LCRY_MACHINEID.ID.

     4.PURCHASE THE KEY AND REMEMBER IT.

     5.OPEN [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE OR THE EXE OF LCRY RANSOMWARE YOU JUST OPENED.

     6.ENTER THE KEY.

     7.WAIT FOR YOUR FILES TO BE DECRYPTED.

PLEASE FOLLOW THE INSTRUCTIONS OR YOU MUST SAY GOODBYE TO YOUR FILES!

Перевод записки на русский язык:

ВЫ СТАЛИ ЖЕРТВОЙ LCRY RANSOMWARE!

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ С ИСПОЛЬЗОВАНИЕМ НАДЕЖНОГО АЛГОРИТМА!

У ВАС НЕТ ВОЗМОЖНОСТИ РАСШИФРОВАТЬ СВОИ ФАЙЛЫ, ЕСЛИ ВЫ НЕ КУПИТЕ КЛЮЧ!

НЕ ВОЛНУЙТЕСЬ, КЛЮЧ ЛЕГКО КУПИТЬ, ЕСЛИ СЛЕДОВАТЬ ИНСТРУКЦИИ!

      1. ЗАРЕГИСТРИРУЙТЕ EMAIL АККАУНТ.

      2. НАПИШИТЕ leo20090707@outlook.com!

      3. УКАЖИТЕ ВАШ MACHINE ID В [SYSTEMDRIVE]\LCRY_MACHINEID.ID.

      4. КУПИТЕ КЛЮЧ И ЗАПОМНИТЕ ЕГО.

      5. ОТКРОЙТЕ [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE ИЛИ EXE ФАЙЛ LCRY RANSOMWARE, КОТОРЫЙ ВЫ ОТКРЫЛИ.

      6. ВВЕДИТЕ КЛЮЧ.

      7. ДОЖДИТЕСЬ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ.

СЛЕДУЙТЕ ИНСТРУКЦИЯМ, ИНАЧЕ ПРОЩАЙТЕСЬ СО СВОИМИ ФАЙЛАМИ!

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LCRY_README.txt - название файла с требованием выкупа; 

LCRY_MACHINEID.id - файл с 16 знаками; 
LCRY.exe  - название вредоносного файла; 

LCRY_DECRYPTOR.exe или winnt32.exe - название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: leo20090707@outlook.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: bc0b5052b957c3bedff6bb3cb6e0d646

SHA-1: 593a2d83afdf8377207af4b1b20573a2aa83b7bf

SHA-256: 4e33391000cf4732b82569f2ff0196e3cfee10a67b7dcaf52070ac7e2f79826e

Vhash: 04503e0f7d1015z11z4hz13z1fz

Imphash: 4464878084141aa454cc76b8e0df8945

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: ee4fa8efb7477465a3f8a29a8e2a2e29

SHA-1: 6a0f698712161fae61dcbf811841b509b42cb08c

SHA-256: 402313e6b87dd3ef9e3b848b315bf3e6fdb3fe6671bdca38fcadfe8396536de7

Vhash: 04503e0f7d1015z11z4hz13z1fz

Imphash: 4464878084141aa454cc76b8e0df8945

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 октября 2021: 

Сообщение >> 

Расширение: _lcry_enc

Email: leo20090707@outlook.com 

Файл проекта: E:\Cpp\LCRY_new\x64\Release\LCRY_new.pdb

Файл EXE: LCRY_new.exe

IOS: VT: MD5: dc45ba4d1723097610d6e353ee388921

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.