Surtr

Surtr Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: SurtrRansomware, Surtr RaaS. На файле написано: Surtr.exe. Языки программирования: C, C++  и другие. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34790
BitDefender -> Gen:Variant.Bulz.597982
ESET-NOD32 -> A Variant Of Win64/Injector.GN
Kaspersky -> Trojan.Win32.DelShad.hko
Malwarebytes -> Ransom.Surtr
Microsoft -> Ransom:Win64/Surtr.MK!MTB
Rising -> Trojan.Injector!8.C4 (CLOUD)
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Delshad.Anfw
TrendMicro -> TROJ_GEN.R002H0DLN21
---

© Генеалогия: ??? >> Surtr

Сайт "ID Ransomware" идентифицирует это как Surtr. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .SURT

Фактически используется составное расширение по шаблону: .[DecryptMyData@mailfence.com].SURT

Записки с требованием выкупа называются: 

SURTR_README.txt

SURTR_README.hta

Содержание записки SURTR_README.txt:

What happened to your files?

Unfortunately, your server was compromised, 

using a security hole in your server.

All your files are encrypted with a military algorithm .

in order to contact us you can email this address

DecryptMyData@mailfence.com

use this ID( Mg7XhdqAg5vABo ) for the title of your email.

if you weren't able to contact us within 24 hours please email :

Decrypter@msgsafe.io

Only we can decrypt your files.

Please do not contact separate fraudulent sites.

You can use freeand even paid software on the Internet, 

but it is uselessand will cause you to lose filesand timeand money.

Перевод записки на русский язык:

Что случилось с вашими файлами?

К сожалению, ваш сервер был взломан,

используя дыру в безопасности на вашем сервере.

Все ваши файлы зашифрованы с военным алгоритмом.

чтобы связаться с нами, вы можете email на этот адрес

DecryptMyData@mailfence.com

используйте этот ID (Mg7XhdqAg5vABo) для заголовка вашего email.

если вы не смогли написать нам в течение 24 часов, пишите на email:

Decrypter@msgsafe.io

Только мы можем расшифровать ваши файлы.

Пожалуйста, не связывайтесь с отдельными мошенническими сайтами.

Вы можете использовать бесплатные и даже платные программы в Интернете,

но это бесполезно и приведет к потере файлов, времени и денег

Содержание записки SURTR_README.hta:

SurtrRansomware 

OOPS ALL YOUR IMPORTANT FILES HAVE BEEN ENCRYPTED AND STOLEN !!

Notice : There is only one way to restore your data read the boxes carefully! 

Attention :

☢ Do Not change file names. 

☢ Do Not try to decrypt using third party softwares , it may cause permanent data loss . 

☢ If you do not pay the fee within one month , your important files will be published in our public belog . 

☢ Do not pay any money before decrypting the test files. 

☢ You can use our 50% discount if you pay the fee within first 15 days of encryption . otherwise the price will be doubled. 

☢ In order to warranty you , our team will decrypt 3 of your desired files for free.but you need to pay the specified price for the rest of the operation . 

How To Decrypt :

☢ Your system is offline . in order to contact us you can email this address  DecryptMyData@mailfence.com  use this ID (Mg7XhdqAg5vABo) for the title of your email . 

☢ If you weren't able to contact us within 24 hours please email :  Decrypter@msgsafe.io  

☢ If you didn't get any respond within 48 hours use this link (Not Available Now).send your ID and your cryptor name (SurtrRansomwareUserName) therefore we can create another way to contact you as soon as possible  

Перевод записки на русский язык:

SurtrRansomware

Упс ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ И УКРАДЕНЫ !!

Примечание: есть только один способ восстановить ваши данные, внимательно прочтите!

Внимание :

☢ Не меняйте имена файлов.

☢ Не пытайтесь расшифровать с помощью сторонних программ, это может привести к безвозвратной потере данных.

☢ Если вы не оплатите взнос в течение одного месяца, ваши важные файлы будут опубликованы в нашем общедоступном блоге.

☢ Не платите деньги перед расшифровкой тестовых файлов.

☢ Вы можете воспользоваться нашей скидкой 50%, если заплатите комиссию в течение первых 15 дней после шифрования. иначе цена будет удвоена.

☢ Чтобы гарантировать вам, наша команда бесплатно расшифрует 3 нужных вам файла, но вам надо заплатить указанную цену за оставшуюся часть операции.

Как расшифровать:

☢ Ваша система отключена. чтобы связаться с нами, вы можете написать на этот адрес DecryptMyData@mailfence.com, используйте этот ID (Mg7XhdqAg5vABo) как заголовок вашего email.

☢ Если вы не смогли связаться с нами в течение 24 часов, пишите email на: Decrypter@msgsafe.io

☢ Если вы не получили ответа в течение 48 часов, используйте эту ссылку (сейчас недоступно). Отправьте свой ID и имя шифровальщика (SurtrRansomwareUserName), чтобы мы могли создать другой способ связаться с вами как можно скорее

Другим информатором является изображение, заменяющее обои Рабочего стола. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки, отдельно удаляет все найденные бэкапы. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SURTR_README.txt - название файла с требованием выкупа;

SURTR_README.hta - название файла с требованием выкупа;
Surtr.exe - случайное название вредоносного файла; 

ID_DATA.surt - файл с идентификатором;

Private_DATA.surt - приватный данные; 

Public_DATA.surt - публичные данные; 

SurtrBackGround.jpg - фоновое изображение; 

SurtrIcon.ico - иконка;  

Dropper.pdb - файл проекта. 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\ProgramData\Service\ID_DATA.surt

C:\ProgramData\Service\Private_DATA.surt

C:\ProgramData\Service\Public_DATA.surt

C:\ProgramData\Service\SURTR_README.hta

C:\ProgramData\Service\SURTR_README.txt

C:\ProgramData\Service\Surtr.exe

C:\ProgramData\Service\SurtrBackGround.jpg

C:\ProgramData\Service\SurtrIcon.ico

C:\Users\Admin\AppData\Local\Temp\Service\ID_DATA.surt

C:\Users\Admin\AppData\Local\Temp\Service\Surtr.exe

C:\Users\Admin\AppData\Local\Temp\Service\SURTR_README.hta

C:\Users\Dev\source\repos\Dropper\x64\Release\Dropper.pdb

Файлы в Автозагрузке системы: 

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt 

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe 

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe 

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.hta 

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Surtr.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: DecryptMyData@mailfence.com, Decrypter@msgsafe.io
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB, MB

MD5: e6fc190168519d6a6c4f1519e9450f0f

SHA-1: af2080ddf1064fb80c7b9af942aaabf264441098

SHA-256: 8199ef63e0058be6217ec8392258fbe7fac9fb556b8e87f40a3a45835f424980

Vhash: 035076655d155515555038z4f3z1@z

Imphash: dc2674579d8467837a92f4344084fc20

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 3 марта 2022: 

Сообщение >>

Расширение: .surtr

Email: Dec_youfile1986@mailfence.com

Записки: SURTR_README.hta, SURTR_README.txt

Изображение на обои: SurtrBackGround.jpg

Результаты анализов: VT + IA + TG

Обнаружения: 

BitDefender -> Gen:Variant.Lazy.132748

DrWeb -> Trojan.Siggen17.19184

ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Ransom.Surtr

Microsoft -> Ransom:Win32/Babuk.SIB!MTB

Rising -> Ransom.Agent!8.6B7 (CLOUD)

Tencent -> Win32.Trojan.Filecoder.Wnmq

TrendMicro -> Ransom.Win32.SURTR.YXCCCT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.