PoliceRecords Ransomware
PoliceRansom Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.35424
BitDefender -> Gen:Heur.Ransom.MSIL.!diop!.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AQG
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Crypren.gen
Malwarebytes -> Ransom.FileCryptor.MSIL
Microsoft -> Ransom:Win32/CryptoLocker!MSR
Tencent -> Msil.Trojan.Crypren.Eyh
TrendMicro -> Ransom.MSIL.CRYPTOLOCKER.SM.hp
---
© Генеалогия: предыдущие варианты >> PoliceRecords
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в конце мая 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .CRYPT
Записка с требованием выкупа называется: FAQ.txt
Записка с требованием выкупа называется: FAQ.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Другим информатором является текст на экране блокировки (жёлтый текст на красном фоне). При этом используется таймер.
Содержание текста на экране:
Перевод текста на русский язык:
What happened to my computer?
Your files are encrypted, meaning that your files are converted from Plain Text to Cipher Text.
What is Plain Text and Cipher Text?
Plain Text is something readable, but Cipher is some scrambled gibrish, that's what happened to your files right now.
In Order to turn your files into plain text, you need to decryption software, which the ransomware guarantees to give it to you, once you make the payment.
What is going to happen if i am not going to pay ?
Then the countdown will run out and crash your system, making unstable and maybe unbootable.
How can i trust?
You have nothing to worry about, because no one would pay us money if we cheated/scammed users.
Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши файлы зашифрованы, это значит, что ваши файлы преобразованы из обычного текста в зашифрованный текст.
Что такое обычный текст и зашифрованный текст?
Обычный текст — это что-то читабельное, а шифр — это зашифрованная тарабарщина, вот что сейчас произошло с вашими файлами.
Чтобы превратить ваши файлы в обычный текст, вам нужна программа для расшифровки, которую ransomware гарантирует вам, когда вы заплатите.
Что будет, если я не буду платить?
Затем отсчет времени закончится и ваша система выйдет из строя, что сделает ее нестабильной и, возможно, невозможной для загрузки.
Как я могу доверять?
Вам не надо беспокоиться, т.к. никто не будет платить нам деньги, если мы будем обманывать пользователей.
Другим информатором является текст на экране блокировки (жёлтый текст на красном фоне). При этом используется таймер.
Содержание текста на экране:
Your data is encrypted with a unique encryption algorythm, it is certainly impossible to recover your data without a private decryption
Key, to purchase it, there should be 2 small textboxes showing you the BTC address, as well as the e-mail address to send the BTC transaction ID.
Now once you sent the payment and e-mailed your transaction ID, wait for a reply with a private decryption program.
Using any 3rd party software will cause your system to be destroyed instantly, there are also possiblities of you losing your files Forever, the only way to recover, is by paying.
Perhaps you are busy looking for a way to recover your data but do not waste your time, nobody can recover your data without the private decryption service. If you don't know what happened without knowing what you just executed, please open "FAQ.txt."
WARNING: DO NOT RESTART YOUR COMPUTER.
Your files will be lost on
04:58:32
Send $300 worth of BTC
1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG
E-mail your BTC transaction ID:
danielnusradin@gmail.com
Ваши данные зашифрованы с уникальным алгоритмом шифрования, восстановить ваши данные без приватной расшифровки невозможно.
Ключ, чтобы купить его, должно быть 2 небольших текстовых поля, показывающих вам адрес BTC, а также адрес email для отправки ID транзакции BTC.
Теперь, когда вы отправили платеж и отправили по email свой ID транзакции, дождитесь ответа с приватной программой дешифрования.
Использование любой сторонней программы приведет к мгновенному уничтожению вашей системы, также есть вероятность, что вы потеряете свои файлы навсегда, единственный способ восстановить — заплатить.
Возможно, вы ищете способ восстановить свои данные, но не тратьте время зря, никто не сможет восстановить ваши данные без частной службы расшифровки. Если вы не знаете, что произошло, не зная, что вы только что выполнили, откройте «FAQ.txt».
ВНИМАНИЕ: НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР.
Ваши файлы будут потеряны
04:58:32
Отправьте BTC на сумму 300 долларов
1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG
Отправьте по email ID транзакции BTC:
danielnusradin@gmail.com
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
FAQ.txt - название файла с требованием выкупа;
Police_Records.pdb - название файл проекта вымогателя;
Police_Records.exe - название вредоносного файла;
Police_Records.exe - название вредоносного файла;
BSOD.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\ExploitKITS\Ransomware\CryptoLocker\CryptoLocker2.0_RANSOMWARE\CryptoLocker2.0_RANSOMWARE\obj\Debug\Police_Records.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: danielnusradin@gmail.com
BTC: 1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: danielnusradin@gmail.com
BTC: 1HNkDUPxEhnN8Q2ZicSnmrifDJYUpAFdbG
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 00d77230603c745c638c5de737d1593e
SHA-1: 680505df4393af2733768f9fb300b94dae85d5b8
SHA-256: 320636b4e8b2196fea47ba835930de39821148005e0a17163e4a97a01222ecc2
Vhash: 265036755511f086d1e3014
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 3 июля 2022:
Расширение: .CRYPT
Файл: RubberDucky.exe, RubberDucky_Crypt0r.exe
Обнаружения:
DrWeb -> Trojan.Encoder.35552
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AQG
TrendMicro -> Ransom_Crypren.R002C0WG522
Вариант от 9 июля 2022:
Расширение: .CRYPT
Записка: Police_Decrypt0r.txt
Email:crypt31@proton.me
BTC: 1Jq3QkccvEXULEtMByA8h5H53CwY3YBwQL
Проекты:
C:\Users\user\Desktop\ExploitKITS\Ransomware\PoliceRansom\PoliceRansom\obj\Debug\PoliceRansom.pdb
E:\MBR_OVERWRITER_SOURCE_CODE-main\MBR_OVERWRITER_SOURCE_CODE\MbrOverwriter\MbrOverwriter\obj\Debug\RANSOM.pdb
Файлы: PoliceRansom.exe, BSOD.exe, RANSOM.exe
IOC: MD5: dfcfb3d614fd1b89a6f52edb48e8285eSHA-1: 3e64b9c5cd491ed9f033fcc93a3eb77e0c20d2db
SHA-256: 22d7669e5f554de4c292c0131498f408086a6d2f158cd487388ed5f4d111c1ea
Vhash: 2250367555121010b10193032
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Обнаружения:
DrWebTrojan.KillMBRNET.1
BitDefenderIL:Trojan.MSILZilla.20940
ESET-NOD32A Variant Of MSIL/Filecoder.AQG
KasperskyUDS:Trojan.MSIL.DiskWriter.gen
MalwarebytesRansom.FileCryptor.MSIL
MicrosoftTrojan:MSIL/KillMBR.RPZ!MTB
RisingTrojan.Generic/MSIL@AI.100 (RDM.MSIL:pI*
TrendMicroRansom.MSIL.CRYPTOLOCKER.SM.hp
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Topic of Support ***
Thanks: MalwareHunterTeam, Petrovic Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
