Amogus

Amogus Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, но никаких требований, чтобы вернуть файлы, не выводит. Оригинальное название: Amogus Ransomware by n00nehere. На файле написано: regolamento.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34608
BitDefender -> Gen:Variant.Jaik.48000
ESET-NOD32 -> A Variant Of Win32/Filecoder.OJJ
Kaspersky -> Trojan-Ransom.Win32.Encoder.okp
Malwarebytes -> Ransom.Amogus
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R03BC0PKP21
---

© Генеалогия: ??? >> Amogus

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден во второй половине ноября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .amogus

Записка с требованием выкупа не используется. Никаких дополнительных соообщения о выкупе не выводится. 

Весь процесс шифрования отражается на экране в окне командного файла. 

При проверке файлы оказались незашифрованными. Достаточно убрать у файлов добавленное расширение и файл откроется как обычно в приложении по умолчанию. На скриншотах ниже два таких незашифрованных файла с добавленным расширением. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Похищает учетные данные из веб-браузеров. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
regolamento.exe (4pwjqgym0.dll) - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 5644517be1634a30b9c32c75d52c7aa6

SHA-1: 5047b5d7e2f352e9ba6efe47e6bc805550d3552d

SHA-256: b034243fc2a42e0c5dd70de9fa6c16d13fc1702330d68d3f885213064fd722d2

Vhash: 0451276d15555c0d5d1dbz1535=z

Imphash: fbfa9d513069fd72ca9b5351ec0cd541

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 декабря 2021: 

Сообщение >>

Расширение: .amogus

Файл: encryption.exe 

Результаты анализов: VT + AR

➤ Обнаружения:

DrWeb -> Trojan.Encoder.34645

BitDefender -> Gen:Variant.Amogus.1

ESET-NOD32 -> A Variant Of Win32/Filecoder.OJJ

Kaspersky -> Trojan-Ransom.Win32.Encoder.ooc

Malwarebytes -> Ransom.Amogus

Rising -> Ransom.Crypmodng!8.10C86 (TFE:5*

Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Filecoder.Pcix

TrendMicro -> Ransom_Encoder.R011C0WL921

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 Petrovic
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.