Anep Ransomware
(фейк-шифровальщик) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Joke.Encoder.1004
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> MSIL/Hoax.FakeFilecoder.IE
Malwarebytes -> Malware.AI.983043261
Microsoft -> Ransom:MSIL/Vigorf.A
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Ransom.Ebzs
TrendMicro -> TROJ_GEN.R002H06B122
---
© Генеалогия: ??? >> Anep
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого вымогателя была в начале февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К фейк-зашифрованным файлам никакое расширение не добавляется.
Записка с требованием выкупа написана на экране блокировки:
Содержание записки о выкупе:
* Don't try to close the Ransomware or else
* Don't shutdown or sleep the computer
* Don't open another app
* Don't open Task Manager, File Explorer, Google Chrome,
Antivirus, FireFox, Alarm & Clock, Calculator, Camera,
Photo, Music.
* Don't delete anything in your computer
* Don't Disconnet you from the internet if wanna get help
* Don't DELETE this app using Task Manager! this app will
DESTROY your Computer, if the app detect it!
Перевод записки на русский язык:
* Не пытайтесь закрыть Ransomware или еще
* Не выключайте и не усыпляйте компьютер
* Не открывайте другое приложение
* Не открывайте диспетчер задач, проводник, Google Chrome,
Антивирус, FireFox, Будильник и часы, Калькулятор, Камеру,
Фото, Музыку.
* Ничего не удаляйте на своем компьютере
* Не отключайтесь от интернета, если хотите помощь
* Не удаляйте это приложение из диспетчера задач! это приложение
УНИЧТОЖИТ ваш компьютер, если обнаружит это!
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Anep Ransomware v1.0.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\Anep Ransomware v1.0.exe
C:\Users\user\source\repos\Anep Ransomware v1.0\Anep Ransomware v1.0\obj\Debug\Anep Ransomware v1.0.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxxs://github.com/AnepCommunity
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxxs://github.com/AnepCommunity
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: f910a417c08f535d10ecaa42b3e688d2
SHA-1: bb9fd807f2f96fbcdd1733064da38ea5b61c45a3
SHA-256: a8e4502ebe2996ba93cb5aaf4a082f6f2af68e82038cb26f65f3dc0641eec71e
Vhash: 215036751511408281d4011
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
