LCRY Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34448, Trojan.Encoder.34459
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.DV
Kaspersky -> Trojan.Win32.Bingoml.cfgy
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/SystemHijack.gen, Trojan:Win32/Bingoml!mclg
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Bingoml.Pezj, Win32.Trojan.Bingoml.Amcl
TrendMicro -> TROJ_GEN.R002C0DHQ21, TROJ_GEN.R06BC0WHQ21
---
© Генеалогия: ??? >> LCRY
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Даты компиляции исполняемых файлов приходятся на март-апрель 2021 г.
К зашифрованным файлам добавляется расширение: .LCRY
Записка с требованием выкупа называется: LCRY_README.txt
Записка с требованием выкупа называется: LCRY_README.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
LCRY_README.txt - название файла с требованием выкупа;
YOU ARE NOW VICTIM OF LCRY RANSOMWARE!
YOUR FILES ARE ENCRYPTED USING A STRONG ALGORITHM!
YOU HAVE NO WAY TO DECRYPT YOUR FILES UNLESS YOU PURCHASE A KEY!
DON'T WORRY!THE KEY IS EASY TO PURCHASE IF YOU FOLLOW THE INSTRUCTIONS!
1.REGISTER AN EMAIL ACCOUNT.
2.CONTACT leo20090707@outlook.com!
3.GIVE OUT YOUR MACHINE ID IN [SYSTEMDRIVE]\LCRY_MACHINEID.ID.
4.PURCHASE THE KEY AND REMEMBER IT.
5.OPEN [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE OR THE EXE OF LCRY RANSOMWARE YOU JUST OPENED.
6.ENTER THE KEY.
7.WAIT FOR YOUR FILES TO BE DECRYPTED.
PLEASE FOLLOW THE INSTRUCTIONS OR YOU MUST SAY GOODBYE TO YOUR FILES!
Перевод записки на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ LCRY RANSOMWARE!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ С ИСПОЛЬЗОВАНИЕМ НАДЕЖНОГО АЛГОРИТМА!
У ВАС НЕТ ВОЗМОЖНОСТИ РАСШИФРОВАТЬ СВОИ ФАЙЛЫ, ЕСЛИ ВЫ НЕ КУПИТЕ КЛЮЧ!
НЕ ВОЛНУЙТЕСЬ, КЛЮЧ ЛЕГКО КУПИТЬ, ЕСЛИ СЛЕДОВАТЬ ИНСТРУКЦИИ!
1. ЗАРЕГИСТРИРУЙТЕ EMAIL АККАУНТ.
2. НАПИШИТЕ leo20090707@outlook.com!
3. УКАЖИТЕ ВАШ MACHINE ID В [SYSTEMDRIVE]\LCRY_MACHINEID.ID.
4. КУПИТЕ КЛЮЧ И ЗАПОМНИТЕ ЕГО.
5. ОТКРОЙТЕ [SYSTEMDRIVE]\LCRY_DECRYPTOR.EXE ИЛИ EXE ФАЙЛ LCRY RANSOMWARE, КОТОРЫЙ ВЫ ОТКРЫЛИ.
6. ВВЕДИТЕ КЛЮЧ.
7. ДОЖДИТЕСЬ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ.
СЛЕДУЙТЕ ИНСТРУКЦИЯМ, ИНАЧЕ ПРОЩАЙТЕСЬ СО СВОИМИ ФАЙЛАМИ!
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
LCRY_README.txt - название файла с требованием выкупа;
LCRY_MACHINEID.id - файл с 16 знаками;
LCRY.exe - название вредоносного файла;
LCRY.exe - название вредоносного файла;
LCRY_DECRYPTOR.exe или winnt32.exe - название вредоносного файла.
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: leo20090707@outlook.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: bc0b5052b957c3bedff6bb3cb6e0d646
SHA-1: 593a2d83afdf8377207af4b1b20573a2aa83b7bf
SHA-256: 4e33391000cf4732b82569f2ff0196e3cfee10a67b7dcaf52070ac7e2f79826e
Vhash: 04503e0f7d1015z11z4hz13z1fz
Imphash: 4464878084141aa454cc76b8e0df8945
---
MD5: ee4fa8efb7477465a3f8a29a8e2a2e29
SHA-1: 6a0f698712161fae61dcbf811841b509b42cb08c
SHA-256: 402313e6b87dd3ef9e3b848b315bf3e6fdb3fe6671bdca38fcadfe8396536de7
Vhash: 04503e0f7d1015z11z4hz13z1fz
Imphash: 4464878084141aa454cc76b8e0df8945
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 28 октября 2021:
Расширение: _lcry_enc
Email: leo20090707@outlook.com
Файл проекта: E:\Cpp\LCRY_new\x64\Release\LCRY_new.pdb
Файл EXE: LCRY_new.exe
IOS: VT: MD5: dc45ba4d1723097610d6e353ee388921
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
