Unibovwood Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.MulDrop18.40388
BitDefender -> Trojan.Agent.FMMH
ESET-NOD32 -> Win32/Filecoder.OIK
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Crypmod.MAK!MTB
Rising -> Ransom.Agent!1.D96E (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.11cd2110
TrendMicro -> Trojan.Win32.SERIOS.THIOHBA
---
© Генеалогия: ??? >> Unibovwood
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Образец этого крипто-вымогателя был найден в начале сентября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: *нет данных*.
Записка с требованием выкупа называется: ReadMe.txt
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: unibovwood1984@protonmail.com, ormecha19@tutanota.com
BTC: -
Записка с требованием выкупа называется: ReadMe.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Gentlemen!
Your business is at serios risk .
There is a significant hole in the security system of your company.
We have easily penetrated your network.
You should thank the Lord for being hacked by serios people not some stupid schoolboys or dangerous punks.
They can damage all your important data just for fun.
All files on each host in the network have been encrypted with a strong algorithm
Now your files are crypted with the strongest millitary algorithms RSA4096 and AES-256.
No one can help you to restore files without our special decoder.
Photorec, RannoDecryptor etc. repair tools
Are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet )
and attach 2 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc. ))
You will receive decrypted samples and our conditions how to get the decoder.
Please don't forget to write the name of your company in the subject of your e-mail.
You have to pay for decryption in Bitcoins.
The final price depends on how fast you write to us.
Every day of delay will cost you additional BTC
Nothing personal just business
As soon as we get bitcoins you'll get all your decrypted data back.
Moreover you will get instructions how to close the hole in security
and how to avoid such problems in the future
we will recommend you special software that makes the most problems to hackers.
Attention! One more time !
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
P.S. Remember, we are not scammers.
We dont need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Just send a request immediately after infection.
All data will be restored absolutely.
Your warranty - decrypted samples.
Contact emails
Primary email : unibovwood1984@protonmail.com
Secondary email : ormecha19@tutanota.com
Господа!
Ваш бизнес подвергается серьезному риску.
В системе безопасности вашей компании есть серьезная дыра.
Мы легко проникли в вашу сеть.
Вы должны благодарить Господа за то, что вас взламывают серьезные люди, а не глупые школьники или опасные панки.
Они могут повредить все ваши важные данные просто для удовольствия.
Все файлы на каждом хосте в сети зашифрованы с помощью надежного алгоритма.
Теперь ваши файлы зашифрованы с помощью самых надежных военных алгоритмов RSA4096 и AES-256.
Никто не сможет помочь вам восстановить файлы без нашего специального декодера.
Инструменты для ремонта Photorec, RannoDecryptor и др. бесполезны и могут безвозвратно уничтожить ваши файлы.
Если вы хотите восстановить свои файлы, пишите на email (контакты внизу листа)
и прикрепите 2 зашифрованных файла
(Менее 5 Мб каждый, не в архиве, и ваши файлы не должны содержать ценной информации
(Базы данных, резервные копии, большие листы Excel и т. д.))
Вы получите расшифрованные образцы и наши условия получения декодера.
Не забудьте указать название вашей компании в теме письма.
Вы должны заплатить за расшифровку в биткойнах.
Окончательная цена зависит от того, как быстро вы нам напишите.
Каждый день задержки будет стоить вам дополнительных BTC
Ничего личного просто бизнес
Как только мы получим биткойны, вы получите обратно все расшифрованные данные.
Кроме того, вы получите инструкции, как закрыть брешь в безопасности.
и как избежать подобных проблем в будущем мы порекомендуем вам специальную программу, которая доставит больше всего проблем хакерам.
Внимание! Еще раз !
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ.
P.S. Помните, мы не мошенники.
Нам не нужны ваши файлы и ваша информация.
Но через 2 недели все ваши файлы и ключи будут удалены автоматически.
Просто отправьте запрос сразу после заражения.
Все данные будут восстановлены абсолютно.
Ваша гарантия - расшифрованные образцы.
Контактные адреса email
Основной адрес email: unibovwood1984@protonmail.com
Дополнительный адрес email: ormecha19@tutanota.com
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ReadMe.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: unibovwood1984@protonmail.com, ormecha19@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: fc95d7841f298dbe638cbe63d7878d89
SHA-1: 919324ceb106a872866c9b78612094666644b03d
SHA-256: 44f0b6ee096aeb62aa585a0c37decaae0177eae22c18e40b0e823d9eaf856b78
Vhash: 0160b6665d5c0d5d151c0035zb002b1z25z3bz203cz3
Imphash: d44f052cc03bd4241e051835ae399fb9
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
