Если вы не видите здесь изображений, то используйте VPN.

суббота, 28 августа 2021 г.

SanwaiCrypt

SanwaiCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.002077 BTC, чтобы вернуть файлы. Оригинальное название: SanwaiCrypt и sanwaiWare 2021. На файле написано: gerjjkrkjjk33.exe.
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.36493
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.Injector.gzsbs
BitDefender -> Trojan.Generic.30043531
ESET-NOD32 -> Win32/Filecoder.OIJ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Crypmod.gen
Malwarebytes -> Malware.AI.3537836220
Microsoft -> Ransom:Win32/SanwaiCrypt.PA!MTB
Tencent -> Win32.Trojan.Filecoder.Aihk
TrendMicro -> Ransom.Win32.SANWAI.A
---

© Генеалогия: ??? >> SanwaiCrypt


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в конце августа 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .sanwai

Записки с требованием выкупа называются: 
IMPORTANT.txt
IMPORTANT.html


Содержание записки IMPORTANT.txt:
!! sanwaiWARE !!
YOUR FILES HAVE BEEN ENCRYPTED. THE ONLY WAY TO GET THEM BACK IS BY MAKING PAYMENT.
TO GET YOUR FILES BACK, YOU MUST:
- SEND 0.002077 BITCOIN TO bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
 * MAKE SURE YOU COVER THE FEES AND SEND THE EXACT AMOUNT TO THE ADDRESS!
ONCE THE PAYMENT IS MADE, OPEN DECRYPTOR FILE ON DESKTOP AND YOU WILL HAVE ACCESS TO ALL OF YOUR FILES AGAIN, AND THIS WILL NOT HAPPEN AGAIN
sanwaiWare 2021

Перевод записки 
IMPORTANT.txt на русский язык:
!! sanwaiWARE !!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. ЕДИНСТВЕННЫЙ СПОСОБ ВЕРНУТЬ ИХ - ЗАПЛАТИТЬ.
ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ, ВЫ ДОЛЖНЫ:
- ОТПРАВИТЬ 0.002077 БИТКОИНА НА bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
* УБЕДИТЕСЬ, ЧТО ВЫ ОПЛАТИЛИ СБОР И ОТПРАВИЛИ ТОЧНУЮ СУММУ НА АДРЕС!
ПОСЛЕ СЛОВА ОПЛАТЫ ОТКРОЙТЕ ФАЙЛ ДЕКРИПТОРА НА РАБОЧЕМ СТОЛЕ, И ВЫ ПОЛУЧИТЕ ДОСТУП КО ВСЕМ ВАШИМ ФАЙЛАМ, И ЭТО БОЛЬШЕ НЕ СЛУЧИТСЯ.
sanwaiWare 2021


Содержание записки IMPORTANT.html:
sanwaiWare 2021
Your files have been encrypted.
PAYMENT
Send 0.002077 BITCOIN to
bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
AFTER PAYMENT
Once you have sent payment, open the Decryptor on your Desktop.
Attempting to reverse will result in your files being lost forever.
PAYMENT NOTICE
You have (48) hours from initial notice to make payment.
If payment is not made within the time frame, your files will be deleted.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
gerjjkrkjjk33.exe - название вредоносного файла; 
h6vn2o125.dll - название вредоносного файла; 
decryptor.exe 
- название файла дешифровщика. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 
bc1qjp5suqqk52fmlu0xa3vzfl34l3ghhp9v55drm6
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: e530cbe69e8f66f8a8560ad9f31bfdf3
SHA-1: f72ca49a000436158abb13902e4b5a864729723a
SHA-256: 9d6a780c9d7d1b3d95717fda1f4b388aef2d7282884b0c84714e3755dbabb71b
Vhash: 055056656d155560a2z13z38nz24z21384z1
Imphash: 3d969f9aab4c7fb9b9db6eeb3737ae56


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *