MonaLisa

MonaLisa Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует написать на email вымоагтелей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: 3.exe, xy72vx8rk.dll, 4.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34934, Trojan.Encoder.34961
BitDefender -> Gen:Trojan.ExplorerHijack.JuW@ay6pbsii, Gen:Trojan.ExplorerHijack.JuW@a0crHtei
ESET-NOD32 -> Win32/Filecoder.OKA, A Variant Of Win32/Filecoder.OKA
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Malware.AI.2890321610
Microsoft -> Ransom:Win32/Paradise.BC!MTB
Rising -> Ransom.Agent!1.DBBD (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Akfo, Win32.Trojan.Filecoder.Wskk
TrendMicro -> Ransom_Paradise.R002C0DBA22, Ransom_Paradise.R002C0DBB22
---

© Генеалогия: ??? >> MonaLisa

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: 

.barrel

.nekochan

Фактически используется составное расширение по шаблону: 

.[<email>].extension

Известные варианты на момент напсиания статьи: 

.[m0na.l1sa@onionmail.org].barrel

.[m0na.l1sa@onionmail.org].nekochan

Записки с требованием выкупа называются: 
info.txt

info.hta

Содержание записки info.txt:

You are infected! This means your files are locked!

You want to recover them?

Contact us at m0na.l1sa@onionmail.org

Перевод записки на русский язык:

Вы заражены! Это значает ваши файлы блокированы!

Вы хотите вернуть их?

Напишите нам на m0na.l1sa@onionmail.org

Содержание записки info.hta:

YOUR FILES ARE ENCRYPTED

PLEASE READ THIS MESSAGE CAREFULLY

Don't worry, you can return all your files!

If you want to restore them, write to the mail:m0na.l1sa@onionmail.org YOUR ID 0AA41***

You have to specify your ID in the subject of your message.

ATTENTION!

We recommend you contact us directly to avoid overpaying agents

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

ВНИМАТЕЛЬНО ПРОЧТИТЕ ЭТО СООБЩЕНИЕ

Не волнуйтесь, вы можете вернуть все свои файлы!

Если вы хотите их восстановить, пишите на почту: m0na.l1sa@onionmail.org ВАШ ID 0AA41***

В теме сообщения нужно указать свой ID.

ВНИМАНИЕ!

Мы рекомендуем вам прямо написать нам, чтобы не платить агентам

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц повысит цену (они добавляют свою цену к нашей) или вы станете жертвой мошенников.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует библиотеку Crypto++. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

info.txt - название файла с требованием выкупа; 

info.hta - название файла с требованием выкупа; 

3.exe, xy72vx8rk.dll (4.exe) - названиz вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m0na.l1sa@onionmail.org 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 6bc637edc08c18457647c02d9957fa18

SHA-1: d73c673ddcb0e6bbc1412dde3cad782abf516572

SHA-256: ab668490afd212d8a5847a57c77e2c4dac6f8dd0c2d0b9c08ae833d7fa61988e

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

--- 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 7b98b5055e8fbb6b3710b79889943971

SHA-1: 820f17fb630ee3ff68857475d73086e40f200c5b

SHA-256: 4c25916319363e88f60ad6d7b6a66f5a737cb9ce8a2045f656e9dbc272115bea

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 34ee49b8b1e5ac3c1c5e748ebf23a8ed

SHA-1: 16fda9ca20e33e351060976d84e25acedf6b6c02

SHA-256: 85c3810ff6df3d220dd6733886f1e2c2a5fbe7517978f3a1d9a50415eaf24b47

Vhash: 055056655d55556038z687z17z2lz

Imphash: de7914124681fabba9c3afbb3d426332

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.