SanwaiCrypt

SanwaiCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.002077 BTC, чтобы вернуть файлы. Оригинальное название: SanwaiCrypt и sanwaiWare 2021. На файле написано: gerjjkrkjjk33.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36493
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.Injector.gzsbs
BitDefender -> Trojan.Generic.30043531
ESET-NOD32 -> Win32/Filecoder.OIJ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypmod.gen
Malwarebytes -> Malware.AI.3537836220
Microsoft -> Ransom:Win32/SanwaiCrypt.PA!MTB
Tencent -> Win32.Trojan.Filecoder.Aihk
TrendMicro -> Ransom.Win32.SANWAI.A
---

© Генеалогия: ??? >> SanwaiCrypt

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sanwai

Записки с требованием выкупа называются: 
IMPORTANT.txt

IMPORTANT.html

Содержание записки IMPORTANT.txt:

!! sanwaiWARE !!

YOUR FILES HAVE BEEN ENCRYPTED. THE ONLY WAY TO GET THEM BACK IS BY MAKING PAYMENT.

TO GET YOUR FILES BACK, YOU MUST:

- SEND 0.002077 BITCOIN TO bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

 * MAKE SURE YOU COVER THE FEES AND SEND THE EXACT AMOUNT TO THE ADDRESS!

ONCE THE PAYMENT IS MADE, OPEN DECRYPTOR FILE ON DESKTOP AND YOU WILL HAVE ACCESS TO ALL OF YOUR FILES AGAIN, AND THIS WILL NOT HAPPEN AGAIN

sanwaiWare 2021

Перевод записки IMPORTANT.txt на русский язык:

!! sanwaiWARE !!

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. ЕДИНСТВЕННЫЙ СПОСОБ ВЕРНУТЬ ИХ - ЗАПЛАТИТЬ.

ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ, ВЫ ДОЛЖНЫ:

- ОТПРАВИТЬ 0.002077 БИТКОИНА НА bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

* УБЕДИТЕСЬ, ЧТО ВЫ ОПЛАТИЛИ СБОР И ОТПРАВИЛИ ТОЧНУЮ СУММУ НА АДРЕС!

ПОСЛЕ СЛОВА ОПЛАТЫ ОТКРОЙТЕ ФАЙЛ ДЕКРИПТОРА НА РАБОЧЕМ СТОЛЕ, И ВЫ ПОЛУЧИТЕ ДОСТУП КО ВСЕМ ВАШИМ ФАЙЛАМ, И ЭТО БОЛЬШЕ НЕ СЛУЧИТСЯ.

sanwaiWare 2021

Содержание записки IMPORTANT.html:

sanwaiWare 2021

Your files have been encrypted.

PAYMENT

Send 0.002077 BITCOIN to

bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

AFTER PAYMENT

Once you have sent payment, open the Decryptor on your Desktop.

Attempting to reverse will result in your files being lost forever.

PAYMENT NOTICE

You have (48) hours from initial notice to make payment.

If payment is not made within the time frame, your files will be deleted.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 

gerjjkrkjjk33.exe - название вредоносного файла; 

h6vn2o125.dll - название вредоносного файла; 

decryptor.exe - название файла дешифровщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: e530cbe69e8f66f8a8560ad9f31bfdf3

SHA-1: f72ca49a000436158abb13902e4b5a864729723a

SHA-256: 9d6a780c9d7d1b3d95717fda1f4b388aef2d7282884b0c84714e3755dbabb71b

Vhash: 055056656d155560a2z13z38nz24z21384z1

Imphash: 3d969f9aab4c7fb9b9db6eeb3737ae56

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.