Recon

Recon Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует файлы в рамках какой-то тренировки по работе с ransomware. Никаких официальных подтверждений от разработчика не последовало. Оригинальное название: в записке не указано. На файле написано: RsEncP и RsEncP.exe. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.24
BitDefender -> Gen:Variant.Razy.789642
ESET-NOD32 -> A Variant Of MSIL/Spy.Agent.CCB
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Malware.AI.1366478974

Microsoft -> Ransom:Win32/Genasom
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Razy.Ebhs
TrendMicro -> Ransom_Encoder.R03FC0WGA21
---

© Генеалогия: ??? >> Recon

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в начале июля 2021 г. Скорее всего был сделан раньше. Ориентирован на корейскоязычных и англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .Recon

Записка называется: Recon.txt

Другим информатором является экран блокировки с сообщением. 

Содержание текста с экрана:

리콘훈련

랜섬 웨어 훈련에 참가 하셨습니다.

복구는 관리자에게 문의 바랍니다.

Перевод текста на английский язык:

recon training

You have participated in ransomware training.

For recovery, please contact the administrator.

Перевод текста на русский язык:

разведподготовка

Вы прошли обучение работе с ransomware.

Для восстановления обращайтесь к администратору.

---

С помощью серсиса Triage я получил ещё один экран программы с другим текстом.

Текст с экрана:

리콘훈련
랜성 웨어 춘련에 참가
하셨습니다.

Перевод на английский язык:

recon training
Participate in Lansheng Wear Spring Festival
You did.

Перевод на русский язык:

разведподготовка
Участвуй в весеннем фестивале Lansheng Wear
Ты сделал.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Вместо шифрования используется Base64 кодирование файлов, находящихся на Рабочем столе. 

Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Recon.txt - название файла с требованием выкупа; 

Recon.Recon - какой-то специальный файл; 

RsEncP.exe - название вредоносного файла; 

RsEncP.pdb - название файла проекта. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\User\Desktop\Recon.txt

C:\Users\Admin\AppData\Local\Temp\RsEncP.exe

C:\GURU(site2)\Recon_Webroot\App_Data\RsEncP\RsEncP\obj\Release\RsEncP.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG + TG + TG, AR, VMR, JSB

MD5: 1e8c10aca8b1af079d130d59585bbe87

SHA-1: fffad47c0363a714ad2b1804ec98fd86e1577e88

SHA-256: 22240b86f52405d2d69523a3c74e5aa576e5251d72cccbf07e91273e4391a324

Vhash: 215036751511b0a713241020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.