Nokoyawa, UserNamme

NOKOYAWA Ransomware

UserNamme Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: xxx.exe.
---

Обнаружения:
DrWeb -> Trojan.Encoder.34963
BitDefender -> Trojan.GenericKD.38963587
ESET-NOD32 -> A Variant Of Win64/Filecoder.EV
Kaspersky -> Trojan-Ransom.Win32.Crypren.aint
Malwarebytes -> Malware.AI.998037634
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> ansom.Win64.NOKO.YACBL
---

© Генеалогия: ✂ Hive? >> NOKOYAWA

Сайт "ID Ransomware" это идентифицирует как NOKOYAWA. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале и первой половине февраля 2022 г. Ориентирован на англоязычных и китайских пользователей, может распространяться по всему миру. Распространяется из небольшой страны в Юго-Восточной Азии, целями являются компании из соседних стран (Китай, Япония, Южная Корея и пр.). 

К зашифрованным файлам добавляется расширение: .NOKOYAWA

Фактически в расширении используется название пострадавшей компании или имя пользователя компьютера этой компании: .<VICTIM_NAME>

Записка с требованием выкупа называется по шаблону VICTIM_NAME_readme.txt: 

В найденном примере записка называлась: NOKOYAWA_readme.txt

 

 

Содержание записки о выкупе:

Dear usernamme, your files were encrypted, some are compromised.

Be sure, you can't restore it without our help.

You need a private key that only we have.

Contact us to reach an agreement or we will leak your black shit to media:

Brookslambert@protonmail.com

Sheppardarmstrong@tutanota.com

亲爱的用户名，您的文件已加密，有些已被泄露。

请确保，如果没有我们的帮助，您将无法恢复它。

您需要一个只有我们拥有的私钥。

联系我们以达成协议，否则我们会将您的黑屎泄露给媒体：

Brookslambert@protonmail.com

Sheppardarmstrong@tutanota.com

Перевод записки на русский язык:

Дорогой usernamme, ваши файлы зашифрованы, другие под угрозой.

Будьте уверены, без нашей помощи вы их не вернете.

Вам нужен закрытый ключ, который только мы имеем.

Напишите нам для соглашения или мы сольем ваше чёрное дерьмо в СМИ:

Brookslambert@protonmail.com

Sheppardarmstrong@tutanota.com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NOKOYAWA_readme.txt - название файла с требованием выкупа;
xxx.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Brookslambert@protonmail.com, Sheppardarmstrong@tutanota.com

Email: charlefletcher@onionmail.org, Johnatannielson@protonmail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 2e936942613b9ef1a90b5216ef830fbf

SHA-1: 32c2ecf9703aec725034ab4a8a4c7b2944c1f0b7

SHA-256: e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4

Vhash: 034046551d551az1b!z

Imphash: 6787f57bc9873a02ce38d5daed45ad43

---

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 22a006b6d19558c3cebd708b2b0543bc

SHA-1: 2d92468b5982fbbb39776030fab6ac35c4a9b889

SHA-256: fefd1117c2f0ab88d8090bc3bdcb8213daf8065f12de1ee6a6c641e888a27eab

Vhash: 034046551d551az1b!z

Imphash: 6787f57bc9873a02ce38d5daed45ad43

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

Added later: Write-up by TrendMicro

 Thanks: 
 MalwareHunterTeam, dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.