Zeon Ransomware
Zeon Doxware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует посетить сайт вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Вымогатели угрожают опубликовать украденные данные на своем сайте. Оригинальное название: Zeon, Zeon strain, Zeon Ransomware. На файле написано: FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe. Написан на языке Python.
---
Обнаружения:
DrWeb -> Python.Encoder.54
BitDefender -> Trojan.GenericKD.38938300
ESET-NOD32 -> Python/Filecoder.JW
Kaspersky -> Trojan-Ransom.Win32.Agent.baom
Malwarebytes -> Ransom.Zeon
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> while expected
Symantec -> Trojan Horse
Tencent -> while expected
TrendMicro -> Ransom.Win32.ZEON.THBAOBB
---
© Генеалогия: ??? >> Zeon
Сайт "ID Ransomware" идентифицирует это как Zeon.
Обнаружения:
DrWeb -> Python.Encoder.54
BitDefender -> Trojan.GenericKD.38938300
ESET-NOD32 -> Python/Filecoder.JW
Kaspersky -> Trojan-Ransom.Win32.Agent.baom
Malwarebytes -> Ransom.Zeon
Microsoft -> Trojan:Win32/Tnega!ml
Rising -> while expected
Symantec -> Trojan Horse
Tencent -> while expected
TrendMicro -> Ransom.Win32.ZEON.THBAOBB
---
© Генеалогия: ??? >> Zeon
Информация для идентификации
Активность этого крипто-вымогателя была в начале февраля 2022 г. Одно из ранних сообщений появилась в конце января. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .zeon
Записка с требованием выкупа называется: re_ad_me.txt
Записка с требованием выкупа называется: re_ad_me.txt
Содержание записки о выкупе:
All of your files are currently encrypted by ZEON strain.
As you know (if you don't - just "google it"), all of the data that has been encrypted by our software cannot be recovered by any means without contacting our team directly.
If you try to use any additional recovery software - the files might be damaged, so if you are willing to try - try it on the data of the lowest value.
To make sure that we REALLY CAN get your data back - we offer you to decrypt 2 random files completely free of charge.
You can contact our team directly for further instructions through our website :
TOR VERSION :
(you should download and install TOR browser first https://torproject.org)
hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/
YOU SHOULD BE AWARE!
Just in case, if you try to ignore us. We've downloaded a pack of your internal data and are ready to publish it on out news website if you do not respond. So it will be better for both sides if you contact us as soon as possible.
---BEGIN ID---
FEVcmTbQIx9X2VMynNFOZ3c***
---END ID---
Перевод записки на русский язык:
Все ваши файлы теперь зашифрованы ZEON штаммом.
Как вы знаете (если нет - просто "погуглите"), все данные, которые были зашифрованы нашей программой, не могут быть восстановлены никакими средствами без прямого обращения к нашей команде.
Если вы попытаетесь использовать какие-либо дополнительные программы для восстановления - файлы могут быть повреждены, поэтому, если вы хотите попробовать - попробуйте его на данных с наименьшим значением.
Чтобы убедиться, что мы ПРАВДА МОЖЕМ вернуть ваши данные - мы предлагаем вам совершенно бесплатно расшифровать 2 случайных файла.
Вы можете связаться с нашей командой напрямую для получения дальнейших инструкций через наш веб-сайт:
ТОР ВЕРСИЯ:
(сначала надо скачать и установить браузер TOR https://torproject.org)
hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/
ВЫ ДОЛЖНЫ ЗНАТЬ!
На всякий случай, если вы попытаетесь нас игнорировать. Мы скачали пакет ваших внутренних данных и готовы опубликовать его на нашем новостном сайте, если вы не ответите. Поэтому для обеих сторон будет лучше, если вы напишите нам поскорее.
***
Скриншоты с сайта вымогателей. На момент написания статьи в чате никому "поддержка" не оказывалась.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
re_ad_me.txt - название файла с требованием выкупа;
FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe - название вредоносного файла;
Файлы pyd: _Salsa20.pyd, _ec_ws.pyd, _raw_eksblowfish.pyd и другие.
Файлы dll: python39.dll, libcrypto-1_1.dll, VCRUNTIME140.dll и другие.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\FEVcmTbQIx9X2VMynNFOZ3czRBKjZat7ep8l9asewByCR7QOrnm1ktm7SRGCG3yh_enc.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://zeonrefpbompx6rwdqa5hxgtp2cxgfmoymlli3azoanisze33pp3x3yd.onion/
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 33f612338b6b5e6b4fe8cbb17208795c
SHA-1: 66535700bbce7f90d2add7c504bc0e0523d4d71d
SHA-256: c860bf644bd5e3d6f4cae67848c4fc769184ae652fcb41cac670042b185d217a
Vhash: 076056655d1555604013z3005dmz11fz
Imphash: bdaa4f11fa75ae7944b223ba584c1f57
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support *
Thanks: MalwareHunterTeam, dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
