NOKOYAWA Ransomware
UserNamme Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: xxx.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34963
BitDefender -> Trojan.GenericKD.38963587
ESET-NOD32 -> A Variant Of Win64/Filecoder.EV
Kaspersky -> Trojan-Ransom.Win32.Crypren.aint
Malwarebytes -> Malware.AI.998037634
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> ansom.Win64.NOKO.YACBL
---
© Генеалогия: ✂ Hive >> NOKOYAWA
Сайт "ID Ransomware" это идентифицирует как NOKOYAWA.
DrWeb -> Trojan.Encoder.34963
BitDefender -> Trojan.GenericKD.38963587
ESET-NOD32 -> A Variant Of Win64/Filecoder.EV
Kaspersky -> Trojan-Ransom.Win32.Crypren.aint
Malwarebytes -> Malware.AI.998037634
Microsoft -> Trojan:Win32/Tiggre!rfn
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> ansom.Win64.NOKO.YACBL
---
© Генеалогия: ✂ Hive >> NOKOYAWA
Информация для идентификации
Активность этого крипто-вымогателя была в начале и первой половине февраля 2022 г. Ориентирован на англоязычных и китайских пользователей, может распространяться по всему миру. Распространяется из одной из стран в Юго-Восточной Азии, целями являются компании из соседних стран (Китай, Япония, Южная Корея и пр.).
К зашифрованным файлам добавляется расширение: .NOKOYAWA
Фактически в расширении используется название пострадавшей компании или имя пользователя компьютера этой компании: .<VICTIM_NAME>
Записка с требованием выкупа называется по шаблону VICTIM_NAME_readme.txt:
В найденном примере записка называлась: NOKOYAWA_readme.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
NOKOYAWA_readme.txt - название файла с требованием выкупа;
xxx.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Brookslambert@protonmail.com, Sheppardarmstrong@tutanota.com
Dear usernamme, your files were encrypted, some are compromised.
Be sure, you can't restore it without our help.
You need a private key that only we have.
Contact us to reach an agreement or we will leak your black shit to media:
Brookslambert@protonmail.com
Sheppardarmstrong@tutanota.com
亲爱的用户名,您的文件已加密,有些已被泄露。
请确保,如果没有我们的帮助,您将无法恢复它。
您需要一个只有我们拥有的私钥。
联系我们以达成协议,否则我们会将您的黑屎泄露给媒体:
Brookslambert@protonmail.com
Sheppardarmstrong@tutanota.com
Перевод записки на русский язык:
Дорогой usernamme, ваши файлы зашифрованы, другие под угрозой.
Будьте уверены, без нашей помощи вы их не вернете.
Вам нужен закрытый ключ, который только мы имеем.
Напишите нам для соглашения или мы сольем ваше чёрное дерьмо в СМИ:
Brookslambert@protonmail.com
Sheppardarmstrong@tutanota.com
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
NOKOYAWA_readme.txt - название файла с требованием выкупа;
xxx.exe - название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: Brookslambert@protonmail.com, Sheppardarmstrong@tutanota.com
Email: charlefletcher@onionmail.org, Johnatannielson@protonmail.com
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 2e936942613b9ef1a90b5216ef830fbf
SHA-1: 32c2ecf9703aec725034ab4a8a4c7b2944c1f0b7
SHA-256: e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4
Vhash: 034046551d551az1b!z
Imphash: 6787f57bc9873a02ce38d5daed45ad43
Результаты анализов:
MD5: 22a006b6d19558c3cebd708b2b0543bc
SHA-1: 2d92468b5982fbbb39776030fab6ac35c4a9b889
SHA-256: fefd1117c2f0ab88d8090bc3bdcb8213daf8065f12de1ee6a6c641e888a27eab
Vhash: 034046551d551az1b!z
Imphash: 6787f57bc9873a02ce38d5daed45ad43
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support *
Added later: Write-up by TrendMicro
Thanks: MalwareHunterTeam, dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.