DcDcrypt, RanHassan

DcDcrypt Ransomware

RanHassan Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Rijndael (режим CBC), а затем требует связаться с вымогателями, чтобы узнать как заплатить и расшифровать вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Encrypter и Encrypter.exe. Написан на C#. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.36016
BitDefender -> Trojan.Ransom.RanHassan.A
ESET-NOD32 -> MSIL/Filecoder.ARI
Kaspersky -> Undetected
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Ransom.Ncnw
TrendMicro -> TROJ_GEN.R002H09HV22
---

© Генеалогия: RURansom и другие >> DcDcrypt (RanHassan)

Сайт "ID Ransomware" идентифицирует это как RanHassan. 

Информация для идентификации

Ранняя активность этого крипто-вымогателя началась в мае 2022 г и продолжилась позже. В первую очередь был нацелен на пользователей в Индии и арабоязычных странах, в той или иной мере знающих английский язык, но может распространяться и по всему миру. 

По всей видимости к этому вымогательству приложили руку антироссийские хакеры-вымогатели, которые хотят помешать экономическому сотрудничеству России с Индией и арабскими странами. 

К зашифрованным файлам добавляется длинное расширение которое начинается на .[Enc]

В сообщении на сайте исследователей есть более длинный вариант расширения:

.[Enc][dc.dcrypt@cyberfear.com And dc.dcrypt@mailfence.com (send both) ATTACK ID = %userID%  Telegram ID = @decryptionsupport1]

С учетом опубликованной ниже записки, где виден ID, расширение должно выглядеть следующим образом: 

.[Enc][dc.dcrypt@cyberfear.com And dc.dcrypt@mailfence.com (send both) ATTACK ID = 7I3S7Q3S6T7Y9Z  Telegram ID = @decryptionsupport1]

О других вариантах расширения не говорится, но они могут быть и с другими адресами. 

Записка с требованием выкупа называется: 

_ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta

или даже 

_ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta  referencing [dc.dcrypt@tutanota.com](mailto:dc.dcrypt@tutanota.com) and [dc.dcrypt@mailfence.com](mailto:dc.dcrypt@mailfence.com)

Из сообщений на сайтах исследователей вымогателя не совсем ясно, где название, а где текст с адресами. Но файл записки имеет расширение .hta, в этом нет сомнения. 

Содержание записки о выкупе:

What happened to my files?

Your files have been decrypted by me ;)

for more information send your Attack ID to the folowing Email

Email 1 = dc.dcrypt@cyberfear.com

Email 2 = dc.dcrypt@mailfence.com

Telegram ID = @decryptionsupport1

*******Send Email To both Address*******

---------- Atention ----------

Do not try to kill the ransomware in any way

Do not install ant antivirus its a joke ;)

Do not try to open Encrypted file

Do not trust anybody for decryption

Failure to do so may result in the destruction of your information forever

When the timer expires, your data will be Kill

Attack ID also Writed to end of each file

before pay you can send us up to 3 test file

for free decryption (less than 5 MB)

Remember your files should not be database or archive files

***DO NOT PAY ANY MONEY BEFORE DECRYPTING TEST FILE***

Your Attack ID = 7I3S7Q3S6T7Y9Z

Перевод записки на русский язык:

Что случилось с моими файлами?

Ваши файлы были расшифрованы мной ;)

для дополнительной информации отправьте ваш Attack ID на следующий email-адрес

Email 1 = dc.dcrypt@cyberfear.com

Email 2 = dc.dcrypt@mailfence.com

Telegram ID = @decryptionsupport1

*******Отправьте email на оба адреса*********

---------- Внимание ----------

Ни в коем случае не пытайтесь убить ransomware.

Не ставьте ant antivirus, это шутка ;)

Не пытайтесь открыть Зашифрованный файл

Не доверяйте никому расшифровку

Невыполнение этого требования навсегда уничтожит вашу информации 

Когда таймер остановится, ваши данные будут уничтожены

Attack ID также записывается в конец каждого файла.

перед оплатой вы можете отправить нам до 3 тест-файлов

для бесплатной расшифровки (менее 5 МБ)

Помните, что ваши файлы не должны быть базой данных или архивными файлами.

*** НЕ ПЛАТИТЕ ДЕНЬГИ ДО РАСШИФРОВКИ ТЕСТ-ФАЙЛА***

Ваш Attack ID = 7I3S7Q3S6T7Y9Z

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Эта программа-вымогатель не шифрует ничего, кроме содержимого текущего каталога, из которого она была запущена. Теневые копии файлов не удаляются.  

➤ Вот что исследователи рассказали о шифровании

После генерации пароля шифровальщик начинает шифровать содержимое текущего каталога. Метод шифрования принимает текущий путь к каталогу в качестве аргумента и начинает шифрование файлов внутри, обходя все папки внутри текущего каталога. После инициализации всех переменных, связанных с шифрованием, шифровальщик записывает примечание о выкупе в текущий каталог. Затем он проверяет размер файла. Если он меньше 1000000 байт, то создаётся новый файл с тем же именем + расширение шифрования, а затем зашифруется исходный файл и зашифрованное содержимое помешщается в новый файл и удаляется исходный файл. Если файл больше указанного размера, шифровальщик выполнит XOR 1-го байта файла с 255 и переименует файл с исходным именем + расширением шифрования, где расширение шифрования .[Enc][dc.dcrypt@cyberfear.com And dc.dcrypt@mailfence.com (send both) ATTACK ID = %userID%  Telegram ID = @decryptionsupport1].

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta - название файла с требованием выкупа;

ID.cl -  специальный файл с идентификатором жертвы, который вымогатель создает вначале процесса шифрования; 

desktop.ini — это файл конфигурации шифровальщика;
Encrypter.exe - название файла шифровальщика. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dc.dcrypt@tutanota.com, dc.dcrypt@mailfence.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1a5c50172527d4f867951ff73ab09ed5

SHA-1: daf90b51e5f7d331bb6ba622f9c71ae0c01eb0c2

SHA-256: f54a2373225b570572f677bd601e1fed2ef7b72582af894b7132b8a390e35593

Vhash: 21403655151a084ec0027

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Исследователям из компаний K7SecurityLabs и BitDefender удалось разгадать секреты шифровальщика и использовать их для расшифровки. Вот небольшой текст, который объясняет это. 

"""Вымогатель генерирует пароль, используя ID пользователя, созданный случайным образом, и жестко закодированную соль, поскольку каждый зараженный ПК имеет уникальный ATTACK ID, и мы знаем, что он будет храниться в файле с именем ID.cl , поэтому BDRanHassanDecryptTool должен прочитать файл ID.cl, чтобы получить ID пользователя, и использовать тот же метод для генерации пароля, что и программа-вымогатель. 

После этого этот инструмент будет сканировать все диски на наличие зашифрованных файлов, все зашифрованные файлы имеют расширение .[Enc], поэтому идентифицировать зашифрованный файл будет несложно."""

Пострадавшие могут скачать дешифратор из статьи BitDefender и расшифровать свои файлы.  

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 K7SecurityLabs, BitDefender
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PoliceRecords

PoliceRecords Ransomware

PoliceRansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Police_Records.exe и CryptoLocker2.0_RANSOMWARE.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35424
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AQG
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileCryptor.MSIL
Microsoft -> Ransom:Win32/CryptoLocker!MSR
Tencent -> Msil.Trojan.Crypren.Eyh
TrendMicro -> Ransom.MSIL.CRYPTOLOCKER.SM.hp
---

© Генеалогия: предыдущие варианты >> PoliceRecords

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .CRYPT

Записка с требованием выкупа называется: FAQ.txt

Содержание записки о выкупе:

What happened to my computer? 

Your files are encrypted, meaning that your files are converted from Plain Text to Cipher Text. 

What is Plain Text and Cipher Text? 

Plain Text is something readable, but Cipher is some scrambled gibrish, that's what happened to your files right now.

In Order to turn your files into plain text, you need to decryption software, which the ransomware guarantees to give it to you, once you make the payment. 

What is going to happen if i am not going to pay ?

Then the countdown will run out and crash your system, making unstable and maybe unbootable. 

How can i trust?

You have nothing to worry about, because no one would pay us money if we cheated/scammed users.

Перевод записки на русский язык:

Что случилось с моим компьютером?

Ваши файлы зашифрованы, это значит, что ваши файлы преобразованы из обычного текста в зашифрованный текст.

Что такое обычный текст и зашифрованный текст?

Обычный текст — это что-то читабельное, а шифр — это зашифрованная тарабарщина, вот что сейчас произошло с вашими файлами.

Чтобы превратить ваши файлы в обычный текст, вам нужна программа для расшифровки, которую ransomware гарантирует вам, когда вы заплатите.

Что будет, если я не буду платить?

Затем отсчет времени закончится и ваша система выйдет из строя, что сделает ее нестабильной и, возможно, невозможной для загрузки.

Как я могу доверять?

Вам не надо беспокоиться, т.к. никто не будет платить нам деньги, если мы будем обманывать пользователей.

Другим информатором является текст на экране блокировки (жёлтый текст на красном фоне). При этом используется таймер.  

Содержание текста на экране:

Your data is encrypted with a unique encryption algorythm, it is certainly impossible to recover your data without a private decryption

Key, to purchase it, there should be 2 small textboxes showing you the BTC address, as well as the e-mail address to send the BTC transaction ID.

Now once you sent the payment and e-mailed your transaction ID, wait for a reply with a private decryption program.

Using any 3rd party software will cause your system to be destroyed instantly, there are also possiblities of you losing your files Forever, the only way to recover, is by paying.

Perhaps you are busy looking for a way to recover your data but do not waste your time, nobody can recover your data without the private decryption service. If you don't know what happened without knowing what you just executed, please open "FAQ.txt."

WARNING: DO NOT RESTART YOUR COMPUTER.

Your files will be lost on

04:58:32

Send $300 worth of BTC

1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG

E-mail your BTC transaction ID:

danielnusradin@gmail.com

Перевод текста на русский язык:

Ваши данные зашифрованы с уникальным алгоритмом шифрования, восстановить ваши данные без приватной расшифровки невозможно.

Ключ, чтобы купить его, должно быть 2 небольших текстовых поля, показывающих вам адрес BTC, а также адрес email для отправки ID транзакции BTC.

Теперь, когда вы отправили платеж и отправили по email свой ID транзакции, дождитесь ответа с приватной программой дешифрования.

Использование любой сторонней программы приведет к мгновенному уничтожению вашей системы, также есть вероятность, что вы потеряете свои файлы навсегда, единственный способ восстановить — заплатить.

Возможно, вы ищете способ восстановить свои данные, но не тратьте время зря, никто не сможет восстановить ваши данные без частной службы расшифровки. Если вы не знаете, что произошло, не зная, что вы только что выполнили, откройте «FAQ.txt».

ВНИМАНИЕ: НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР.

Ваши файлы будут потеряны

04:58:32

Отправьте BTC на сумму 300 долларов

1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG

Отправьте по email ID транзакции BTC:

danielnusradin@gmail.com

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FAQ.txt - название файла с требованием выкупа;

Police_Records.pdb - название файл проекта вымогателя; 
Police_Records.exe - название вредоносного файла; 

BSOD.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\user\Desktop\ExploitKITS\Ransomware\CryptoLocker\CryptoLocker2.0_RANSOMWARE\CryptoLocker2.0_RANSOMWARE\obj\Debug\Police_Records.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: danielnusradin@gmail.com
BTC: 1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 00d77230603c745c638c5de737d1593e

SHA-1: 680505df4393af2733768f9fb300b94dae85d5b8

SHA-256: 320636b4e8b2196fea47ba835930de39821148005e0a17163e4a97a01222ecc2

Vhash: 265036755511f086d1e3014

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 3 июля 2022: 

Сообщение >>

Расширение: .CRYPT

Файл: RubberDucky.exe, RubberDucky_Crypt0r.exe

Результаты анализа: VT + AR + IA

Обнаружения: 

DrWeb -> Trojan.Encoder.35552

ESET-NOD32 -> A Variant Of MSIL/Filecoder.AQG

TrendMicro -> Ransom_Crypren.R002C0WG522

Вариант от 9 июля 2022: 

Сообщение >>

Расширение: .CRYPT

Записка: Police_Decrypt0r.txt

Email:crypt31@proton.me

BTC: 1Jq3QkccvEXULEtMByA8h5H53CwY3YBwQL

Проекты:

C:\Users\user\Desktop\ExploitKITS\Ransomware\PoliceRansom\PoliceRansom\obj\Debug\PoliceRansom.pdb

E:\MBR_OVERWRITER_SOURCE_CODE-main\MBR_OVERWRITER_SOURCE_CODE\MbrOverwriter\MbrOverwriter\obj\Debug\RANSOM.pdb

Файлы: PoliceRansom.exe, BSOD.exe, RANSOM.exe

Результаты анализа: VT + AR + IA / VT + AR + IA

IOC: MD5: dfcfb3d614fd1b89a6f52edb48e8285e

SHA-1: 3e64b9c5cd491ed9f033fcc93a3eb77e0c20d2db

SHA-256: 22d7669e5f554de4c292c0131498f408086a6d2f158cd487388ed5f4d111c1ea

Vhash: 2250367555121010b10193032

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Обнаружения: 

DrWebTrojan.KillMBRNET.1

BitDefenderIL:Trojan.MSILZilla.20940

ESET-NOD32A Variant Of MSIL/Filecoder.AQG

KasperskyUDS:Trojan.MSIL.DiskWriter.gen

MalwarebytesRansom.FileCryptor.MSIL

MicrosoftTrojan:MSIL/KillMBR.RPZ!MTB

RisingTrojan.Generic/MSIL@AI.100 (RDM.MSIL:pI*

TrendMicroRansom.MSIL.CRYPTOLOCKER.SM.hp

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 MalwareHunterTeam, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CheckMate

CheckMate Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей на QNAP-устройствах с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп $15000  в BTC, чтобы вернуть файлы. Оригинальное название: Check Mate. На файле написано: нет данных. Хакеры-распространители: CHECKMATE team. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие для QNAP >> родство выясняется.

Сайт "ID Ransomware" это идентифицирует как Checkmate. 

Информация для идентификации

Активность этого крипто-вымогателя была в конце мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .checkmate

В просмотренных файлах зашифрованы только первые 8192 байта. 

Записка с требованием выкупа называется: !CHECKMATE_DECRYPTION_README

Содержание записки о выкупе:

You was hacked by CHECKMATE team.

All your data has been encrypted, backups have been deleted.

Your unique ID: bc75c720f835********************

You can restore the data by paying us money.

We have encrypted 267183 office files.

We determine the amount of the ransom from the number of encrypted office files.

The cost of decryption is 15000 USD.

Payment is made to a unique bitcoin wallet.

Before paying, you will be able to make sure that we can actually decrypt your files.

For this:

1) Download and install Telegram Messenger https://telegram.org/

2) Find us https://t.me/checkmate_team

3) Send a message with your unique ID and 3 files for test decryption. Files should be no more than 15mb each.

4) In response, we will send the decrypted files and a bitcoin wallet for payment. Bitcoin wallet is unique for you, so we can find out what you paid.

5) After the payment is received, we will send you the key and the decryption program.

Перевод записки на русский язык:

Вас взломала команда CHECKMATE.

Все ваши данные зашифрованы, резервные копии удалены.

Ваш уникальный ID: bc75c720f835************************

Вы можете восстановить данные, заплатив нам деньги.

Мы зашифровали 267183 офисных файла.

Размер выкупа определяем по количеству зашифрованных офисных файлов.

Стоимость расшифровки 15000 долларов США.

Оплата на уникальный биткойн-кошелек.

Перед оплатой вы сможете убедиться, что мы правда можем расшифровать ваши файлы.

Для этого:

1) Скачайте и установите Telegram Messenger https://telegram.org/

2) Найди нас https://t.me/checkmate_team

3) Отправьте сообщение со своим уникальным ID и 3 файла для тест-расшифровки. Файлы должны быть не более 15мб каждый.

4) В ответ мы вышлем расшифрованные файлы и биткойн-кошелек для оплаты. Биткойн-кошелек уникален для вас, так мы узнаем, что вы заплатили.

5) После получения оплаты мы вышлем вам ключ и программу расшифровки.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .adr, .aes, .agdl, .ai, .ait, .al, .apj, .ARC, .arw, .asc, .asf, .asm, .asp, .avi, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .CATDrawing, .CATPart, .CATProduct, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce2, .cel, .cer, .cf, .cfp, .cfx, .cgm, .cgr, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .dac, .dat, .db, .db3, .dbf, .db-journal, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .dif, .dip, .djvu, .dmg, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dsn, .dt, .dwg, .dxb, .dxf, .edb, .eml, .erbsql, .erf, .exf, .exr, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flv, .fnm, .fpt, .fpx, .frm, .frq, .fs, .fxg, .gdoc, .gen, .gif, .gpg, .gray, .grey, .gry, .gz, .h, .h98, .hbk, .hpp, .hwp, .ibank, .ibd, .ibz, .idx, .igs, .iiq, .incpas, .indd, .ini, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .lay, .lay6, .ldf, .lua, .m3u, .m4u, .m4v, .max, .mdb, .mdc, .mef, .mfw, .mid, .mkv, .mml, .mmw, .model, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .mts, .myd, .nd, .ndd, .nef, .nop, .nrm, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwd, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .old, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .PAQ, .pas, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prx, .ps, .ps1, .psafe3, .psd, .psdm, .pst, .ptx, .pub, .py, .qbb, .qbp, .qbw, .qfx, .ra2, .raf, .rar, .raw, .rb, .rdb, .rfn, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sch, .sd1, .sda, .sdf, .sdo, .sh, .sh3d, .skb, .skp, .sldm, .sldprt, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stp, .stw, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .taxform, .tbk, .tgz, .tif, .tiff, .tii, .tis, .tlg, .tlx, .ts, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wnc, .x3f, .xla, .xlam, .xlc, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы отчётности, архивы и пр.

Файлы, связанные с этим Ransomware:
!CHECKMATE_DECRYPTION_README - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: checkmate_team

Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 16 сентября 2022:

Сообщение на форуме >>

Записка: !CHECKMATE_DECRYPTION_README

Содержание записки:

You was hacked by -=CHECKMATE=- team.

All your data has been encrypted, backups have been deleted.

Your unique ID: 9CE6061BE20146D9B5921578F3E*****

You can restore the data by paying us money.

We determine the amount of the ransom from the number of encrypted office files.

The cost of decryption is 5820 USD for all your files.

Payment is made to a unique bitcoin wallet.

Before paying, you will be able to make sure that we can actually decrypt your files.

For this:

    1) Download and install Telegram Messenger https://telegram.org/

    2) Find us https://t.me/checkmate_team

        Be careful! Telegram has a lot of fake accounts, for example, checkmate_teamm or checkmate_teams.

        Dont search manually, use the link above.

        If you dont follow this advice, you will lose money and files.

    3) Send a message with your unique ID, your e-mail and 3 files for test decryption. Files should be no more than 15mb each.

    4) In response, we will send the decrypted files and a bitcoin wallet for payment. Bitcoin wallet is unique for you, so we can find out what you paid.

    5) After the payment is received, we will send you the key and the decryption program.

As a bonus, we will let you know how you were hacked.

 

FAQ:

Is it possible to pay for the decryption of only part of the files?

    Yes, it is possible. For more information, please contact us.

What is Bitcoin?

read bitcoin.org

Where to buy bitcoins?

https://bitcoin.org/en/buy

https://buy.moonpay.io

or use google.com

Where is the guarantee that I will receive my files back?

The very fact that we can decrypt your random files is a guarantee. It makes no sense for us to deceive you.

How quickly will I receive the key and decryption program after payment?

As a rule, within a few hours, but very rarely there may be a delay of 1-2 days.

How does the decryption program work?

It is simple. You need to copy the key and select a folder to decrypt. The program will automatically decrypt all encrypted files in this folder and its subfolders.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

🔓 Некоторые файлы изображений (JPG) можно восстановить с помощью альтернативного метода. Ссылка на результат >>

Added later: QNAP Recommendation
Write-up by BleepingComputer
*

 Thanks: 
 Andrew Ivanov (article author)
 DecAns
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EAF

EAF Ransomware

EncoderDecryption Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: encoderdecryption@yandex.ru.exe.
---
Обнаружения:
DrWeb -> Trojan.Siggen17.59421
BitDefender -> IL:Trojan.MSILZilla.2508
ESET-NOD32 -> A Variant Of Generik.GHUBGYD
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Trojan.Agent.Generic
Microsoft -> Ransom:MSIL/Filecoder.PK!MSR
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Msil.Trojan.Delshad.Ecjv
TrendMicro -> Ransom_Filecoder.R002C0DER22
---

© Генеалогия: ✂ Chaos + другой код >> EAF

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-второй половине мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .EAF

Фактически используется составное расширение по шаблону: [<email>][<ID>]<original_filename>.EAF

Примеры зашифрованных файлов:

[encoderdecryption@yandex.ru][8443A5AF]bootmgr.EAF

[encoderdecryption@yandex.ru][8443A5AF]6DYHaZoX.pdf.EAF

Записка с требованием выкупа называется: #FILES-ENCRYPTED.txt

Содержание записки о выкупе:

ATTENTION!

At the moment, your system is not protected.

We can fix it and restore files.

To get started, send a file to decrypt trial.

Don't pay any money, when we didn't decrypt trial file.

You can trust us after opening the test file.

To restore the system write to this address: 

Email 1: encoderdecryption@yandex.ru

Email 2: encoderdecryption@gmail.com

Перевод записки на русский язык:

ВНИМАНИЕ!

На данный момент ваша система не защищена.

Мы можем исправить это и восстановить файлы.

Для начала отправьте файл на пробную расшифровку.

Не платите деньги, если мы не расшифровали пробный файл.

Вы можете доверять нам после открытия тестового файла.

Для восстановления системы пишите на этот адрес:

Эл. почта 1: encoderdecryption@yandex.ru

Эл. почта 2: encoderdecryption@gmail.com

Файл записки дополняется другим текстовым файлом: This Is Your Helper File.txt

Вероятно, это его содержание: 

At the moment, your system is not protected.

We can fix it and restore files.

To get started, send a file to decrypt trial.

You can trust us after opening the test file.

To restore the system write to this address:

Email 1: dr.help100@mailfence.com

Email 2: decrypterdr@cyberfear.com

Telegram ID: @EAF_SUPPORT_BOT

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Предназначен для ОС Windows 7, 8, 10, 11, Windows Server 2003, 2008, 2012, 2016, 2019, 2022. 

➤ Добавляется в автозагрузку системы. Внедряется в системный процесс. Блокирует диспетчер задач. Изменяет настройки Проводника. Удаляет теневые копии файлов. Отключает некоторые системные службы: контроль учетных записей, резервное копирование, восстановление системы, Windows Defender. Получает права администратора. 

➤ Используется AP Telegram для отправки сообщений. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., в том числе файлы без расширений, например, файл bootmgr. 

В таком случае, после шифрования важных системных файлов ОС Windows может не загрузиться. 

Вероятно пропускаются следующие типы файлов, чтобы избежать шифрования собственных файлов вымогателя. 

.exe

.bat

Файлы, связанные с этим Ransomware:
#FILES-ENCRYPTED.txt - название файла с требованием выкупа, также добавляется в Автозагрузку системы; 

This Is Your Helper File.txt - дополнительный текстовый файл; 

encoderdecryption@yandex.ru.pdb - файл проекта вымогателя; 
encoderdecryption@yandex.ru.exe - название вредоносного файла; 

eaf-info.exe - название дополнительного файла вымогателя; 

cmd-файл;

bat-файлы;

BackupXXXA8C4AD38.exe - некий бэкап-файл; 

8443A5AF.exe

8443A5AF.ico

encoderdecryption@yandex.ru.url - ссылка в Автозагрузке системы на исполняемый вредоносный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\1.cmd

C:\Users\Admin\AppData\Local\Temp\2.bat

C:\Users\Admin\AppData\Local\Temp\3.bat

C:\Users\Admin\AppData\Roaming\#FILES-ENCRYPTED.txt

C:\Users\Admin\AppData\Roaming\encoderdecryption@yandex.ru.exe

C:\Windows\A8C4AD38.bat

C:\Windows\8443A5AF.exe

C:\Windows\8443A5AF.ico

C:\Windows\BackupXXXA8C4AD38.exe

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\encoderdecryption@yandex.ru.url

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#FILES-ENCRYPTED.txt

C:\Users\NBC694\source\repos\Fast\Fast\obj\Debug\encoderdecryption@yandex.ru.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: encoderdecryption@yandex.ru, encoderdecryption@gmail.com

Email: dr.help100@mailfence.com, decrypterdr@cyberfear.com

Telegram: @EAF_SUPPORT_BOT

BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: f477c3bd9d9599a59affb41a8807f8ae

SHA-1: 1fee4f5bda8b765acbb741aeebfe74ea9b0f0f4e

SHA-256: d2c47b1c94e6beadbc222771e788e9dafe194c462760b0d16cd25cbc0a572a00

Vhash: 2160361555131011a221a1044

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

 Thanks: 
 PCrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.