Vovabol Ransomware
AlgorithmNemezida Ransomware
(фейк-шифровальщик, вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.35135
BitDefender -> AI:Packer.5E4817E31C
ESET-NOD32 -> A Variant Of Win32/Filecoder.OKK
Kaspersky -> Trojan-PSW.Win32.Stealer.aivt
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Filecoder!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Htmn
TrendMicro -> Ransom.Win32.NEMEZIDA.THCBHBB
---
© Генеалогия: ??? >> Vovabol
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Htmn
TrendMicro -> Ransom.Win32.NEMEZIDA.THCBHBB
---
© Генеалогия: ??? >> Vovabol
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Образец этого крипто-вымогателя был найден во второй половине марта 2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.
Зашифрованных файлов не обнаружено.
Записка с требованием выкупа называется: INSTRUCTIONS.txt
Другим информатором жертвы является файл изображения 1.bmp, который заменяет обои Рабочего стола. Текст почти полностью повторяется.
Вот отдельно сообщение с требованием выкупа.
Вот скриншот экрана с измененными обоями и файлами на Рабочем столе.
Содержание записки о выкупе:
Данные зашифрованы /algorithm NEMEZIDA/
НИЧЕГО НЕ УДАЛЯЙТЕ С РАБОЧЕГО СТОЛА
Для расшифровки оплатите 50$ или эквивалент в рублях на платежную систему:
QIWI (https://qiwi ru) на кошелек +79670298024 или +79154862476
В комментарии к платежу укажите:
1. Ваш ключ№1 - смотрите файл INSTRUCTIONS.txt на рабочем столе
2. Ваша электронная почта (на нее придет ключ№2 для расшифровки)
ДЛЯ РАСШИФРОВКИ
* На вашем рабочем столе запустите DECRYPT
* Внимательно введите полученный ключ №2 и нажмите START
* Расшифровка займет некоторое время, не закрывайте программу расшифровки, обязательно дождитесь сообщения о удачной обработке
* Во время обработки не используйте компьютер и не выключайте. Если обработка
прошла не полностью (например выключился компьютер) напишите письмо на
mnovazeml@online.ua / vovabol@inbox.lv
---
В тексте есть ошибки, которые вряд ли бы сделал русский автор текста. К тому же автор-вымогатель использует украинскую и латвийскую почту.
Используя сайт "allnum.ru/index/phone_number/mobile/" можно узнать, что номера телефонов, указанные в тексте, зарегистрированы в регионе "Москва и Московская область". Геопозиция номеров с помощью специальных сервисов это подтверждает. Но, телефон мог быть утерян, украден или оформлен на подставное лицо. Поэтому, если телефон будет включен, найти вымогателя или того, кто использует эти номера для получения выкупа с помощью QIWI не составит труда.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Используя сайт "allnum.ru/index/phone_number/mobile/" можно узнать, что номера телефонов, указанные в тексте, зарегистрированы в регионе "Москва и Московская область". Геопозиция номеров с помощью специальных сервисов это подтверждает. Но, телефон мог быть утерян, украден или оформлен на подставное лицо. Поэтому, если телефон будет включен, найти вымогателя или того, кто использует эти номера для получения выкупа с помощью QIWI не составит труда.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ UAC не обходит, требуется разрешение на запуск вредоносного файла.
Список типов файлов, подвергающихся шифрованию:
Если шифрование будет реализовано, то зашифрованными вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Вырубает некоторые процессы, которые могут помешать шифрованию.
Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;
Вырубает некоторые процессы, которые могут помешать шифрованию.
TASKKILL /IM 1cv8.exe /F
TASKKILL /IM winword.exe /F
TASKKILL /IM excel.exe /F
TASKKILL /IM powerpnt.exe /F
TASKKILL /IM vmware.exe /F
TASKKILL /IM VirtualBox.exe /F
Пытается с помощью команды запустить некий сайт на русском языке:
INSTRUCTIONS.txt - название файла с требованием выкупа;
1.bmp - изображение, заменяющее собой обои Рабочего стола;
cpt.txt, key1.txt - другие текстовые файлы;
10101010.exe - название вредоносного файла.
10101010.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D*\AC:\zzz\crypt\crypt5.vbp
c:\1\1.bmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: mnovazeml@online.ua, vovabol@inbox.lv
BTC: -
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: mnovazeml@online.ua, vovabol@inbox.lv
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: MD5: 2b99e5c85cd8b0e6decf30d6daee094e
SHA-1: c3e7652e16a2e03d96b0274b5520d19b96196a03
SHA-256: e4defd8a187a513212cb19c9f2a800505395e66d9cd9eb3a96c291060224e7dd
Vhash: 0350367d051)z7b3z
Imphash: 818c0e000ca7da0505349e2306c68948
---
Другие образцы:
32c5e5f424698791373a921e782e4e42a6838a68aac00d4584c16df428990e19
3e4828a46b84a5cc0e095cc017e79a512f5f7deeefe39ddf073e527be66fcf56
7d6d38f2cbe320aff29eb02998476e731d02ca27ca0e2f79063b207fc10229e8
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Другие образцы см. на сайте BA:
https://bazaar.abuse.ch/browse/tag/Vovabol/
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support *
Thanks: MalwareHunterTeam Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
