Если вы не видите здесь изображений, то используйте VPN.

понедельник, 27 декабря 2021 г.

NoWay

NoWay Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью комбинации алгоритмов AES-256 + RSA, а затем требует выкуп $250 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения (вспомогательный файл):
DrWeb -> Trojan.Inject4.23400
BitDefender -> Trojan.GenericKD.38423059
ESET-NOD32 -> A Variant Of Win64/Kryptik.CMZ
Kaspersky -> Backdoor.Win32.Androm.uydg
Malwarebytes -> Trojan.Injector
Microsoft -> Trojan:Win32/Woreflint.A!cl
Rising -> Backdoor.Androm!8.113 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Backdoor.Androm.Sunp
TrendMicro -> TROJ_GEN.R002H0CLU21
---

© Генеалогия: ??? >> NoWay


Сайт "ID Ransomware" идентифицирует это как NoWay


Информация для идентификации

Активность этого крипто-вымогателя была в конце декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К фейк-зашифрованным файлам добавляется расширение: .noway

Имя файла вместе с расширением кодируется в base64 и может быть восстановлено с помощью онлайн-декодера на сайте base64decode.net. 



Если убрать расширение .noway и декодировать имя файла, то файл можно открыть, как обычно. Это довольно сложно сделать для множества зашифрованных файлов, поэтому лучше использовать дешифровщик (см. ссылку в конце статьи). 

Записка с требованием выкупа называется: Unlock your file Instraction.txt

NoWay Ransomware note


Содержание записки о выкупе:
All your files have been Encrypted with the AES-256 encryption algorithym
making your files inaccessible. I will show you how to get them back.
You have 72 hours starting from now to pay your ransom before your
private key is deleted from our servers permenantly, making your files
inaccessible forever, If you try to damage, remove or tamper with this
software in any way your  key will self destruct.
Instructions to recover your files :
1. Go to https://login.blockchain.com/#/signup or any website where you can buy bitcoin and set up a new wallet.
2. Purchase 250$ of bitcoins .
3. Send 250$ of bitcoins to the address : 3GfbwCbTJXFLmLBL8E59YJdhs9uftLfSM5
4. then send your transaction ID to : michael.adler@swsemarketing.ca
to get your decryption key for your files

Перевод записки на русский язык:
Все ваши файлы зашифрованы с алгоритмом шифрования AES-256, что делает ваши файлы недоступными. Я покажу вам, как их вернуть. 
У вас есть 72 часа, начиная с этого, чтобы заплатить выкуп, прежде чем ваш закрытый ключ будет навсегда удален с наших серверов, что сделает ваши файлы недоступными навсегда. Если вы попытаетесь повредить, удалить или вмешаться в эту программу, ваш ключ самоуничтожится. 
Инструкции по восстановлению ваших файлов:
1. Перейдите на https://login.blockchain.com/#/signup или на любой другой веб-сайт, на котором вы можете купить биткойны и настроить новый кошелек.
2. Купите 250$ биткойнов.
3. Отправьте 250$ биткойнов на адрес: 3GfbwCbTJXFLmLBL8E59YJdhs9uftLfSM5
4. затем отправьте свой ID транзакции на адрес: michael.adler@swsemarketing.ca
чтобы получить ключ дешифрования ваших файлов



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Unlock your file Instraction.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: michael.adler@swsemarketing.ca
BTC: 3GfbwCbTJXFLmLBL8E59YJdhs9uftLfSM5
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов (связаны с 
DarkVision RAT)
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 5a0160ed4f57e8aeb9ce39f1d3606548
SHA-1: 1eef4cfb70cceced854911d189679c50d86e6af1
SHA-256: cd728d0db13233a07740e7f802582f375ff625a9966e68e41cca051ebf19daad
Vhash: 045066555d1555751021z14z57jz11zffz
Imphash: 19c1a6dfbb72165cd68f322978fb4434


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***
Внимание!
Файлы можно расшифровать. 
Скачать Emsisoft Decryptor for NoWay >> 
 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *