7even Security Ransomware
Seven Security Ransomware
(zip-вымогатель) (первоисточник)
Translation into English
Этот вымогатель захватывает данные пользователей на сетевых устройствах NAS с помощью технологии zip-архивирования и помещает их в архив с паролем, а затем требует выкуп в 0.01-0.05 BTC, чтобы вернуть файлы. У пострадашего есть только 7 дней на оплату выкупа. Оригинальное название: 7even Security, указано в записке. Группа вымогателей: Team Seven Security.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: предыдущие zip-вымогатели и вымогатели для сетевых устройств NAS >> 7even Security
Сайт "ID Ransomware" идентифицирует это как 7even Security.
Информация для идентификации
Активность этого zip-вымогателя была замечена в середине февраля - начале марта 2022 г., но вымогатели получали выкуп на свой BTC-кошелек уже в январе 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть сообщения о пострадавших из Франции, Гонконга и других стран.
Записка с требованием выкупа называется: Please Read Me !!!.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию/архивации:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Please Read Me !!!.txt - название файла с требованием выкупа;
<random> - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: team.seven@zohomail.eu
BTC: bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa
Hello.
This is 7even Security.
What happened?
- Your Network was not secure.
- Your Network-Attached Storage was compromised.
What does this mean? Where are my files?
- All your data has been encrypted and hidden on a special volume.
- All your important documents have been downloaded.
What can I do to recover my data?
- If you want to recover your data, you have to send 0.04 Bitcoin to this wallet address:
bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa
- You have until the 12th of March 2022 to send the payment.
After this date your files will be almost impossible to recover.
What should I do after I send the payment?
- Your ID is: 69.125.***.***
- Please email us your ID and payment confirmation to:
team.seven@zohomail.eu
- After we confirm your payment you will receive detailed instructions on how to decrypt all your data. It does not require any technical skills and it is done fast.
Can I still use my nas?
- Do not delete any files you find on your nas.
- Do not try to recover your data using any software as it will result in permanent data loss.
- Do not modify any volumes or storage pools on your nas.
- Do not write large amounts of data to your disk.
Why have my files been downloaded?
- We reserve the right to leak or sell all your important documents, if no payment is made.
Where can I buy and send bitcoin?
- You can easily buy and send bitcoin from:
https://paxful.com/buy-bitcoin
https://localbitcoins.com/buy_bitcoins
https://www.binance.com/en/buy-Bitcoin
You can think of this as a failed security audit.
We are professionals. This is a one time deal. We will show you proof if you need it.
We will restore your data immediately after the payment.
We will even send you tips on how to strengthen your network security, to prevent any future attacks.
Thank you.
Перевод записки на русский язык:
Привет.
Это 7even Security.
Что случилось?
- Ваша сеть не была защищена.
- Ваше сетевое хранилище скомпрометировано.
Что это значит? Где мои файлы?
- Все ваши данные зашифрованы и спрятаны на специальном томе.
- Все важные документы загружены.
Что я могу сделать, чтобы вернуть мои данные?
- Если вы хотите вернуть свои данные, вы должны отправить 0.04 биткойна на этот адрес кошелька:
bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa
- У вас есть время до 12 марта 2022 года, чтобы отправить платеж.
После этой даты ваши файлы будет практически невозможно восстановить.
Что мне делать после отправки платежа?
- Ваш ID: 69.125.***.***
- Пожалуйста, отправьте нам свой ID и подтверждение оплаты на адрес:
team.seven@zohomail.eu
- После того, как мы подтвердим ваш платеж, вы получите подробные инструкции как расшифровать все ваши данные. Это не требует каких-либо технических навыков, и это делается быстро.
Могу ли я по-прежнему пользоваться своим NAS?
- Не удаляйте никакие файлы, найденные на вашем NAS.
- Не пытайтесь восстановить данные с помощью каких-то программ, т.к. это приведет к безвозвратной потере данных.
- Не изменяйте тома или пулы хранения на вашем NAS.
- Не записывайте на диск большие объемы данных.
Почему мои файлы были загружены?
- Мы оставляем за собой право выдать или продать все ваши важные документы, если оплата не будет произведена.
Где я могу купить и отправить биткойн?
- Вы можете легко покупать и отправлять биткойны из:
https://paxful.com/buy-биткойн
https://localbitcoins.com/buy_bitcoins
https://www.binance.com/en/buy-Биткойн
Вы можете думать об этом как о неудачном аудите безопасности.
Мы профессионалы. Это разовая сделка. Мы покажем вам доказательства, если вам это нужно.
Мы восстановим ваши данные сразу после оплаты.
Мы даже вышлем вам советы о том, как усилить безопасность вашей сети, чтобы предотвратить любые атаки в будущем.
Спасибо.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию/архивации:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Please Read Me !!!.txt - название файла с требованием выкупа;
<random> - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: team.seven@zohomail.eu
BTC: bc1qc56dddrkdm2rxyqw27knjj7rj97kj5sfkgqtpa
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author) *** *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
