SayLess Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34411
BitDefender -> Trojan.GenericKD.37749517
ESET-NOD32 -> A Variant Of MSIL/Agent.CCK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
---
© Генеалогия: ??? >> SayLess
Образец этого крипто-вымогателя был найден в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Обнаружения:
DrWeb -> Trojan.Encoder.34411
BitDefender -> Trojan.GenericKD.37749517
ESET-NOD32 -> A Variant Of MSIL/Agent.CCK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
---
© Генеалогия: ??? >> SayLess
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Образец этого крипто-вымогателя был найден в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .saylessrsnm
Записка с требованием выкупа называется: SAYLESS-RANSOMWARE.saylessrsnm.txt
Записка с требованием выкупа называется: SAYLESS-RANSOMWARE.saylessrsnm.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Your computer has been infected by SayLess-Ransomware.
All your data and files have been encrypted with a MILITARY-GRADE LEVEL ENCRYPTION. To unlock them,
send 500$ to the BTC adress below to get decryption key and restore your data...
Or else your files are lost!
DO NOT TURN OFF YOUR PC, IF YOU SO ALL YOUR FILES WILL BE CORRUPTED FOREVER.
Encryption Log:
====================================
C:\Users\Admin\Desktop\AssertOptimize.rtf
C:\Users\Admin\Desktop\CheckpointUnblock.mhtml
C:\Users\Admin\Desktop\ConfirmApprove.crw
C:\Users\Admin\Desktop\ConvertToPublish.xlsx
C:\Users\Admin\Desktop\DebugSkip.png
C:\Users\Admin\Desktop\desktop.ini
C:\Users\Admin\Desktop\DisableExpand.midi
C:\Users\Admin\Desktop\DismountPing.htm
C:\Users\Admin\Desktop\ExportSave.midi
C:\Users\Admin\Desktop\FindMount.DVR-MS
C:\Users\Admin\Desktop\GrantImport.doc
C:\Users\Admin\Desktop\InstallCopy.bat
C:\Users\Admin\Desktop\InstallFind.scf
C:\Users\Admin\Desktop\MeasureSplit.ps1
C:\Users\Admin\Desktop\MoveHide.mp4
C:\Users\Admin\Desktop\OutEnter.mp4
C:\Users\Admin\Desktop\RedoTrace.edrwx
C:\Users\Admin\Desktop\RenameDisconnect.odp
C:\Users\Admin\Desktop\SkipAdd.png
C:\Users\Admin\Desktop\SplitProtect.pot
C:\Users\Admin\Desktop\StepPublish.MTS
C:\Users\Admin\Desktop\UndoAdd.eprtx
C:\Users\Admin\Desktop\UnregisterSwitch.rmi
C:\Users\Admin\Desktop\UnregisterUndo.pps
C:\Users\Admin\Pictures\AddGet.dwg
C:\Users\Admin\Pictures\BlockDisable.dxf
C:\Users\Admin\Pictures\CheckpointSelect.dxf
C:\Users\Admin\Pictures\CompressStart.eps
C:\Users\Admin\Pictures\ConnectEnable.dib
C:\Users\Admin\Pictures\ConvertExit.svg
C:\Users\Admin\Pictures\ConvertToOpen.dib
C:\Users\Admin\Pictures\desktop.ini
C:\Users\Admin\Pictures\DisconnectBlock.eps
C:\Users\Admin\Pictures\DismountNew.wmf
C:\Users\Admin\Pictures\EnterUninstall.tif
C:\Users\Admin\Pictures\ExportPop.eps
C:\Users\Admin\Pictures\HidePing.emf
C:\Users\Admin\Pictures\HideReset.ico
C:\Users\Admin\Pictures\MeasureDebug.tif
C:\Users\Admin\Pictures\OpenTrace.tif
C:\Users\Admin\Pictures\ProtectConfirm.png
C:\Users\Admin\Pictures\ProtectSync.bmp
C:\Users\Admin\Pictures\PublishCompare.dwg
C:\Users\Admin\Pictures\PushCheckpoint.ico
C:\Users\Admin\Pictures\RegisterReset.bmp
C:\Users\Admin\Pictures\ResolveEdit.emf
C:\Users\Admin\Pictures\SendHide.pcx
C:\Users\Admin\Pictures\StepConvertFrom.png
C:\Users\Admin\Pictures\SuspendClose.emz
C:\Users\Admin\Pictures\UnblockInvoke.tif
C:\Users\Admin\Pictures\UpdateConvertTo.jpg
C:\Users\Admin\Pictures\Wallpaper.jpg
C:\Users\Admin\Documents\Are.docx
C:\Users\Admin\Documents\BlockApprove.vsd
C:\Users\Admin\Documents\CompleteFind.wps
C:\Users\Admin\Documents\ConfirmExit.mpp
C:\Users\Admin\Documents\ConvertToDisconnect.wps
C:\Users\Admin\Documents\desktop.ini
C:\Users\Admin\Documents\DismountInitialize.ppt
C:\Users\Admin\Documents\ExitRegister.vsw
C:\Users\Admin\Documents\ExitSend.odt
C:\Users\Admin\Documents\ExitSuspend.xlt
C:\Users\Admin\Documents\Files.docx
C:\Users\Admin\Documents\GrantSend.vsw
C:\Users\Admin\Documents\LimitRegister.doc
C:\Users\Admin\Documents\MeasureSuspend.rtf
C:\Users\Admin\Documents\Opened.docx
C:\Users\Admin\Documents\Recently.docx
C:\Users\Admin\Documents\RegisterSplit.ppt
C:\Users\Admin\Documents\RevokeOptimize.pot
C:\Users\Admin\Documents\SendFormat.potm
C:\Users\Admin\Documents\SuspendDeny.ppsx
C:\Users\Admin\Documents\These.docx
C:\Users\Admin\Documents\UnlockWrite.ods
C:\Users\Admin\Documents\UnregisterExit.vsdx
C:\Users\Admin\Documents\UseResolve.pptx
C:\Users\Admin\Documents\WritePing.docx
Перевод записки на русский язык:
Ваш компьютер заражен SayLess-Ransomware.
Все ваши данные и файлы зашифрованы ШИФРОВАНИЕ ВОЕННОГО УРОВНЯ. Чтобы разблокировать их, отправьте 500$ на BTC-адрес ниже, чтобы получить ключ дешифрования и восстановить ваши данные ...
В противном случае ваши файлы потеряны!
НЕ ВЫКЛЮЧАЙТЕ ПК, ИНАЧЕ ВСЕ ВАШИ ФАЙЛЫ БУДУТ ПОВРЕЖДЕНЫ НАВСЕГДА.
Журнал шифрования:
***
Записка с требованием выкупа также написана на экране блокировки с таймером и BTC-адресом:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Ничего не известно о распространении, вероятно этот образец является тестовым или неотлаженным вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
SAYLESS-RANSOMWARE.saylessrsnm.txt - название файла с требованием выкупа;
SayLessRnm Window.exe - название вредоносного файла;
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
SAYLESS-RANSOMWARE.saylessrsnm.txt - название файла с требованием выкупа;
SayLessRnm Window.exe - название вредоносного файла;
SayLessRnm Window.pdb - название файла проекта.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\Desktop\SAYLESS-RANSOMWARE.saylessrsnm.txt
C:\Users\Admin\AppData\Local\Temp\SayLessRnm Window.exe
C:\Users\Sermicro\source\repos\SayLessRnm Window\SayLessRnm Window\obj\Debug\SayLessRnm Window.pdb
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 52c527df9e7554e940c3c45b4e9b3e30
SHA-1: ae182f41baae6a5f3c05803933ba77578772233c
SHA-256: a6339f9ef7c91bc792626ff3765a46809dcada083c93a7e63fd01b0e91c1bb90
Vhash: 255036751511908615203020
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.