WannaBitcoin Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34761
BitDefender -> Gen:Variant.MSILHeracles.32528
ESET-NOD32 -> A Variant Of MSIL/Filecoder.WannaBitcoin.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Ransom.WannaBitcoin
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Rising -> Ransom.DaddyCrypt!1.D566 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Filecoder.Duwk
TrendMicro -> Ransom_Gen.R002C0PLK21
---
© Генеалогия: ??? >> WannaBitcoin
Обнаружения:
DrWeb -> Trojan.Encoder.34761
BitDefender -> Gen:Variant.MSILHeracles.32528
ESET-NOD32 -> A Variant Of MSIL/Filecoder.WannaBitcoin.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Ransom.WannaBitcoin
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Rising -> Ransom.DaddyCrypt!1.D566 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Filecoder.Duwk
TrendMicro -> Ransom_Gen.R002C0PLK21
---
© Генеалогия: ??? >> WannaBitcoin
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была замечена во второй половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .wannabitcoin
Записка с требованием выкупа называется: READ ME TO RECOVER YOUR FILES.wannabitcoin.txt
Записка с требованием выкупа называется: READ ME TO RECOVER YOUR FILES.wannabitcoin.txt
Обратите внимание на то, что в записке вымогатели хотят получить 1 ETH.
Содержание записки о выкупе:
All of your files have been encrypted by WannaBitcoin.
To dercrypt your files 1 to: 0xF37552d92C1EB2b3e57965649fa2c5f94bE8F18A
After you sent 1 ETH, please click on the Check Payment button.
Encryption Log:
----------------------------------------
C:\Users\admin\Desktop\amazoninterest.jpg
C:\Users\admin\Desktop\aucommittee.png
C:\Users\admin\Desktop\breakfeatured.rtf
C:\Users\admin\Desktop\desktop.ini
C:\Users\admin\Desktop\firepapers.rtf
C:\Users\admin\Pictures\batteryrepublic.jpg
C:\Users\admin\Pictures\businessopportunity.png
C:\Users\admin\Pictures\desktop.ini
C:\Users\admin\Pictures\downloadhead.jpg
C:\Users\admin\Pictures\releasedshall.jpg
Перевод записки на русский язык:
Все ваши файлы зашифрованы WannaBitcoin.
Чтобы расшифровать ваши файлы 1 в: 0xF37552d92C1EB2b3e57965649fa2c5f94bE8F18A
После того, как вы отправили 1 ETH, нажмите кнопку Проверить платеж.
Журнал шифрования:
----------------------------------------
***
Записка с требованием выкупа также написана на экране блокировки. Следующие скриншоты демонстрируют как это выглядит в разных системах.
Примечательнор, что на этот скриншотах видно, что вымогатели хотят получить 0.05 BTC.
Другим информатором жертвы является изображение, заменяющее оои Рабочего стола. Обратите внимание, здесь опять вымогатели хотят получить 1 ETH.
Более того, вымогателям и этого показалось мало и они добавили текст ещё и в зашифрованные файлы.
Вот этот текст. Здесь вымогатели также хотят биткоины.
Your files have been encrypted !
What Happened?
Your important files are encrypted.
Your documents, photos, video, databases and other files are can’t access because your files have encrypted by RSA-8192.
Can I Recover My Files ?
You can decrypt your files using our decrypt but you need to pay for it. It cost 0.05 BTC.
How Do I Pay ?
Payment is accepted in Bitcoin only. For more information, click <What is bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, please click <How to buy bitcoins>.
Remember to send the correct amount to the address specified in window.
After your payment, click <Check Payment>.
Once the payment is checked, you can start decrypting your files immediately.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ ME TO RECOVER YOUR FILES.wannabitcoin.txt - название файла с требованием выкупа;
WannaBitcoin.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Jeff\Apps\WannaBitcoin\obj\Debug\WannaBitcoin.pdb
C:\Users\Admin\AppData\Local\Temp\WannaBitcoin.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
ETH: 0xF37552d92C1EB2b3e57965649fa2c5f94bE8F18A
BTC:
BTC:
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 114edffe6d90393ac464866ddf138f90
SHA-1: 97ebbf910fd31a626126311453f8ee87171eb92d
SHA-256: 8cdd2fe5990836816361ce46cce780a56b70456ae2b4c6595fcb6cc2601c754a
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
