Redeemer Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 2-20 XMR, чтобы вернуть файлы. Оригинальное название: Redeemer. На файле написано: svchost.exe, sqlservr.exe или что-то ещё.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34049, Trojan.Encoder.34354
BitDefender -> Trojan.GenericKD.46459249, Gen:Trojan.Malware.ZDW@aSgCW@fi
ESET-NOD32 -> A Variant Of Win32/Filecoder.OHI
Malwarebytes -> Ransom.Redeemer
Microsoft -> Trojan:Win32/Tiggre!rfn, Ransom:Win32/Redeemer.PAD!MTB
Rising -> Ransom.Redeemer!1.D762 (CLASSIC)Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Ajbm, Malware.Win32.Gencirc.10cf62cf
TrendMicro -> TROJ_GEN.R002C0WFL21, TROJ_FRS.0NA103IL21
---
© Генеалогия: ??? >> Redeemer
Сайт "ID Ransomware" это идентифицирует как Redeemer.
Информация для идентификации
Ранняя активность этого крипто-вымогателя была замечена в июне 2021 (тестовый вариант), затем уже в середине сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .redeem
Записка с требованием выкупа называется: Read Me.TXT
Вариант записки от 18 июня 2021
Содержание записки о выкупе:
-- Redeemer --
All your files have been encrypted using an advanced encryption algorithm. They cannot be decrypted without a decryption tool and a key.
In order to decrypt your files you will need to pay 20 XMR (Monero). After paying you will get a tool and a key to decrypt your files.
You can find more information about Monero on getmonero.org and you can buy it from localmonero.co or any other website or use any cryptocurrency exchange that has Monero listed.
WARNING: Do not modify the files, don't change their names and locations, otherwise they won't be able to be decrypted.
AFTER you obtain the required amount of XMR, contact test@test.test and send the following key:
NzEckK2Nm24Xap***
Перевод записки на русский язык:
- Искупитель -
Все ваши файлы зашифрованы с использованием передового алгоритма шифрования. Их невозможно расшифровать без инструмента дешифрования и ключа.
Чтобы расшифровать ваши файлы, вам нужно будет заплатить 20 XMR (Monero). После оплаты вы получите инструмент и ключ для расшифровки ваших файлов.
Вы можете найти информацию о Monero на getmonero.org, и вы можете купить его на localmonero.co или на любом другом веб-сайте или использовать любую криптовалютную биржу, на которой есть Monero.
ВНИМАНИЕ: не изменяйте файлы, не меняйте их имена и расположение, иначе они не будут расшифрованы.
ПОСЛЕ того, как вы получите нужное количество XMR, напишите на test@test.test и отправьте следующий ключ:
NzEckK2Nm24Xap ***
Вариант записки от 19 сентября 2021
Содержание записки о выкупе:
Redeemer
Made by Cerebrate - Dread Forums TOR
[hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/]
[Q1] What happened, I cannot open my files and they have an odd extension?
[A1] Your files have been encrypted by Redeemer, a new ransomware operation.
[Q2] Is there any way to recover my files?
[A2] Yes, you can recover your files. This will however cost you money in XMR (Monero).
[Q3] Is there any any way to recover my files without paying?
[A3] Without paying it is impossible your files.
Redeemer uses most secure algorithms and a sophisticated encryption scheme which guarantees security.
Without a proper key, you will never regain access to your files.
[Q4] What is XMR (Monero)?
[A4] It is a privacy oriented cryptocurrency.
You can learn more about Monero on getmonero.org.
You can view ways to purchase it on www.monero.how/how-to-buy-monero.
[Q5] How will I decrypt my files?
[A5] Follow the general instructions:
-1. Buy 02 XMR.
-2. Contact helpdecryptmyfiles@yandex.com and send the following key:
-----BEGIN REDEEMER PUBLIC KEY-----
NDEhcA***
-----END REDEEMER PUBLIC KEY-----
-3. You will receive an XMR address where you will need to pay the requested amount of Monero.
-4. After you pay and the payment is verified, you will receive a decryption tool and a key which will restore all your files and your computer back to normal.
Перевод записки на русский язык:
RedeemerСделано Cerebrate - Dread Forums TOR
[hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/]
[Q1] Что случилось, я не могу открыть свои файлы, и у них странное расширение?
[A1] Ваши файлы были зашифрованы с помощью Redeemer, новой операции ransomware.
[Q2] Есть ли способ восстановить мои файлы?
[A2] Да, вы можете восстановить свои файлы. Однако это будет стоить вам денег в XMR (Monero).
[Q3] Есть ли способ восстановить мои файлы без оплаты?
[A3] Без оплаты невозможно ваши файлы.
Redeemer использует самые безопасные алгоритмы и сложную схему шифрования, которая гарантирует безопасность.
Без надлежащего ключа вы никогда не восстановите доступ к своим файлам.
[Q4] Что такое XMR (Monero)?
[A4] Это криптовалюта, ориентированная на конфиденциальность.
Вы можете узнать больше о Monero на getmonero.org.
Вы можете просмотреть способы его приобретения на сайте www.monero.how/how-to-buy-monero.
[Q5] Как мне расшифровать свои файлы?
[A5] Следуйте общим инструкциям:
-1. Купить 02 XMR.
-2. Свяжитесь с helpdecryptmyfiles@yandex.com и отправьте следующий ключ:
----- НАЧАЛО ПУБЛИЧНОГО КЛЮЧА REDEEMER -----
NDEhcA ***
----- КОНЕЦ ПУБЛИЧНОГО КЛЮЧА REDEEMER -----
-3. Вы получите адрес XMR, по которому вам нужно будет заплатить запрошенную сумму Monero.
-4. После того, как вы оплатите и подтвердите платеж, вы получите инструмент для дешифрования и ключ, который вернет все ваши файлы и ваш компьютер в нормальное состояние.
Скриншоты с сайта вымогателей:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, очищает журналы Windows.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Read Me.TXT - название файла с требованием выкупа;svchost.exe - название вредоносного файла;
sqlservr.exe - название вредоносного файла;
test_redeemer - название вредоносного файла;
rem.bat - командный файл.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxx://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion
Email: helpdecryptmyfiles@yandex.com
XMR: ***
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
IOC:
VT, HA, IA,
TG, AR, VMR, JSB
MD5: e37a0ece30267233f1dddf3c2300393f
SHA-1: 27610367c41c1b8d3a26885b40fd7aac748189b2
SHA-256: bb7e2066f53bdbb8e93edfa8e900d5be3e2d00ca0a59f9feaa8b8107db7a5d4d
Vhash: 016076656d551d15556118z93hz23z4fz
Imphash: bf1619301d6638d5330bd0d6299a7f70
---
IOC: VT, HA, IA, TG, AR, VMR, JSB MD5: e1338c42da2d2363afbbd0eeabad1ca9
SHA-1: fe5d669b732c9227bb25787083906f49b732c335
SHA-256: 61c47effdf6b6eafd20e74a8a6b52da09e082fefef31c6ae4a2046b6a756050e
Vhash: 016076656d5d1515556128z93hz33z4fz
Imphash: a5311b2b44ff0d9b353e7814b2e15f15
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 20 июля 2022:
Расширение: .redeem
Записка: Read Me.TXT
Записка также добавляется в раздел реестра Winlogon, чтобы сообщить пользователю о том, что произошло после перезагрузки системы.
Новая версия 2.0 написана на C++ и работает на Windows Vista, 7, 8, 10, 11.
Любой может загрузить и использовать сборщик Redeemer Ransomware для атак. После уплаты выкупа, автор получает 20% комиссии и дает мастер-ключ, который должен быть объединен с закрытым ключом сборки, хранящимся у партнера, чтобы расшифровать файлы.
Добавлены XMPP и Tox-чат.
Сообщение на форуме о релизе новой версии Redeemer 2.0.
Описание новой версии Redeemer 2.0 на сайте dread.
Текстовое сообщение о выкупе и сообщение, добавленное в реестр Windows и показываемое после перезагрузки системы.
Зашифрованные файлы получают другой "Redeemer" значок.
Оригинальные незашифрованные файлы не все удаляются.
При открытии зашифрованных файлов выводится следующее сообщение.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Message + Message + myMessage
Write-up, Topic of Support
*
Thanks:
dnwls0719, Michael Gillespie
Andrew Ivanov (article author)
***
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Доброе время суток! Есть ли утилита которая поможет расшифровать файлы пострадавшие от этого вируса? Заранее благодарю!
ОтветитьУдалитьНам пока про это ничего неизвестно. После статьи будет ссылка, если появится метод или дешифровщик.
Удалить